Турецкие хакеры атакуют корпоративные аккаунты Microsoft 365 через платформу EvilProxy

[Artifact]

Злоумышленники мастерски обходят многофакторную аутентификацию и отбирают аккаунты у высокопоставленных сотрудников.
Популярная платформа для фишинга EvilProxy активно используется злоумышленниками для атак на защищённые многофакторной аутентификацией (MFA) корпоративные аккаунты Microsoft 365, согласно исследованию американской компании Proofpoint, специализирующейся на кибербезопасности.
Эксперты Proofpoint зафиксировали резкий рост успешных взломов и компрометации облачных аккаунтов корпоративных пользователей за последние пять месяцев, в первую очередь высокопоставленных руководителей и топ-менеджеров крупных организаций.
В ходе масштабной глобальной кампании, которая ведётся как минимум с марта этого года, мошенники активно используют сервис EvilProxy, сочетающий имитацию известных брендов, обход систем по выявлению ботов, а также использующий открытые перенаправления (Open Redirect) через популярные легитимные сайты.
После перехода жертвы по вредоносной ссылке из фишингового письма, она попадает на поддельную фишинговую страницу входа, где EvilProxy выступает в роли обратного прокси-сервера для вполне себе настоящего сайта входа в Microsoft 365.
Таким способом злоумышленники перехватывают аутентификационные cookie-файлы пользователя и получают полный доступ к аккаунту, обходя защиту в виде многофакторной аутентификации.
Особенностью данных атак является то, что пользователи из Турции, попав по ссылке на фишинговый сайт, перенаправляются обратно на безопасный легитимный ресурс. Это может свидетельствовать о том, что операция осуществляется турецкими хакерами, которые таким образом оберегают своих сограждан. Или же это может быть намеренно ложный след, чтобы лишний раз запутать исследователей безопасности.
Специалисты Proofpoint также обратили внимание на то, что злоумышленники очень тщательно отбирают цели для дальнейшего взлома аккаунтов и кражи данных, отдавая приоритет VIP-персонам и игнорируя рядовых офисных сотрудников.
Так, среди скомпрометированных в рамках рассмотренной вредоносной кампании аккаунтов 39% принадлежат топ-менеджерам, 17% — финансовым директорам, 9% — генеральным и вице-президентам компаний. Остальные 35% — это сотрудники, имеющие доступ к финансовым активам организаций или конфиденциальной информации.
Получив доступ к корпоративному почтовому ящику жертвы, злоумышленники сразу же добавляют к аккаунту собственный номер телефона для многофакторной аутентификации. Это позволяет им закрепиться в скомпрометированной учётной записи и получить полный контроль для доступа ко всем конфиденциальным данным и документам.
Эксперты отмечают, что такие фишинговые прокси-платформы, как EvilProxy, становятся всё более популярной и опасной киберугрозой среди злоумышленников, способной масштабно распространять высококачественный целевой фишинг и при этом обходить многие защитные меры, такие, например, как многофакторная аутентификация.
Для эффективной защиты от подобных атак специалисты Proofpoint рекомендуют компаниям в первую очередь повышать осведомлённость сотрудников о методах социальной инженерии и фишинга, а также реализовывать дополнительные меры безопасности: ужесточать правила фильтрации электронной почты, блокировать Open Redirect, отказаться от использования SMS в пользу более безопасных PUSH-уведомлений для MFA, а также внедрять физические FIDO-ключи вместо одноразовых паролей.