Хакеры преследуют высокопоставленных специалистов, включая руководителей высшего звена, с помощью целенаправленных фишинговых атак и захвата облачных учетных записей, говорится в новом исследовании.
В отчете Proofpoint описана новая кампания по компрометации сред Microsoft Azure и облачных учетных записей, проводимая с конца ноября 2023 года.
Мошенники распространяли индивидуальные фишинговые приманки в общих документах. Исследователи заявляют, что некоторые документы содержат встроенные ссылки на “Просмотр документа”, которые просто перенаправляют жертв на вредоносную фишинговую страницу, которая крадет учетные данные.
Частыми целями кампании становятся директора по продажам, менеджеры по работе с клиентами и финансовые менеджеры, а также лица, занимающие руководящие должности - вице-президенты по операциям, финансовые директоры, генеральный директоры.
Proofpoint отметила, что злоумышленники использовали пользовательский агент Linux - Mozilla / 5.0 (X11; Linux x86_64) AppleWebKit / 537.36 (KHTML, как Gecko) Chrome / 120.0.0.0 Safari / 537.36 - для доступа к приложению для входа в OfficeHome.
В дополнение к активности пользовательского агента Linux, Proofpoint обнаружил несанкционированный доступ к приложениям Microsoft365, включая WCSS-клиент в оболочке Office365, что, по словам исследователей, указывает на доступ браузера к приложениям Office365; Office 365 Exchange Online, что указывает на злоупотребление почтовым ящиком после компрометации; My Signins, что указывает на манипуляции с MFA; MyApps и My Profile.
Proofpoint предупредила, что после успешной компрометации учетных записей Azure субъекты угрозы сохраняли постоянство в облачных средах жертв, регистрируя свои собственные факторы MFA, включая альтернативные телефонные номера для аутентификации с помощью SMS, телефонных звонков или приложения-аутентификатора.
Повышайте осведомленность сотрудников в области кибербезопасности, чтобы защитить вашу компанию.