Пароль менять бесполезно. Microsoft предупредила о взломах, которые невозможно остановить
NewsMakerТрадиционные способы самообороны утратили всякий смысл.
Microsoft сообщила о новой серии многоэтапных атак, в ходе которых применялась схема перехвата сеанса ( AiTM ) в сочетании с методами компрометации деловой переписки (BEC). Целью стали организации в энергетической отрасли, при этом злоумышленники активно использовали SharePoint для доставки вредоносных ссылок и дальнейшего закрепления в системе.
Начальный этап атаки был реализован через фишинговое письмо, отправленное с адреса, принадлежащего ранее скомпрометированной сторонней организации. В письме содержалась ссылка на документ SharePoint, оформленная в стиле типовых уведомлений Microsoft. Переход по ней вёл на страницу авторизации, имитирующую вход в корпоративный ресурс. Доверие к такому сообщению повышалось за счёт использования хорошо знакомого интерфейса облачного сервиса и подмены темы письма.
После получения доступа к учётной записи атакующие использовали её для дальнейшей рассылки писем внутри компании и за её пределами. От имени реальных сотрудников было отправлено свыше 600 сообщений с новыми фишинговыми ссылками, при этом адресаты выбирались по истории переписки, чтобы повысить шансы на успешную атаку.
Для сокрытия следов и обеспечения незаметного присутствия в системе применялись стандартные приёмы: создавались правила в почтовом ящике, которые автоматически удаляли входящие письма и помечали их как прочитанные. Кроме того, преступники отслеживали ответы на подозрительные сообщения и самостоятельно реагировали на них, чтобы подтвердить подлинность отправки и не вызвать тревоги у получателей.
Microsoft сообщила о новой серии многоэтапных атак, в ходе которых применялась схема перехвата сеанса ( AiTM ) в сочетании с методами компрометации деловой переписки (BEC). Целью стали организации в энергетической отрасли, при этом злоумышленники активно использовали SharePoint для доставки вредоносных ссылок и дальнейшего закрепления в системе.
Начальный этап атаки был реализован через фишинговое письмо, отправленное с адреса, принадлежащего ранее скомпрометированной сторонней организации. В письме содержалась ссылка на документ SharePoint, оформленная в стиле типовых уведомлений Microsoft. Переход по ней вёл на страницу авторизации, имитирующую вход в корпоративный ресурс. Доверие к такому сообщению повышалось за счёт использования хорошо знакомого интерфейса облачного сервиса и подмены темы письма.
После получения доступа к учётной записи атакующие использовали её для дальнейшей рассылки писем внутри компании и за её пределами. От имени реальных сотрудников было отправлено свыше 600 сообщений с новыми фишинговыми ссылками, при этом адресаты выбирались по истории переписки, чтобы повысить шансы на успешную атаку.
Для сокрытия следов и обеспечения незаметного присутствия в системе применялись стандартные приёмы: создавались правила в почтовом ящике, которые автоматически удаляли входящие письма и помечали их как прочитанные. Кроме того, преступники отслеживали ответы на подозрительные сообщения и самостоятельно реагировали на них, чтобы подтвердить подлинность отправки и не вызвать тревоги у получателей.