Microsoft upozornil na sofistikované AitM a BEC útoky

Bankovní a finanční sektor čelí novému typu vícestupňového kybernetického útoku, varuje technologický gigant Microsoft. Útok spočívá v kombinaci technik zvaných AitM (Adversary-in-the-Middle) a BEC (Business E-mail Compromise), které se zaměřují na oběti prostřednictvím phishingových e-mailů a kompromitace firemních e-mailových účtů.

Podle zprávy Microsoftu vychází útok od kompromitovaného důvěryhodného dodavatele, který se přesunul do série AitM útoků, a následných BEC aktivit zahrnujících více organizací. Skupina kyberzločinců, označovaná jako Storm-1167, pro své útoky použila nepřímý proxy server, čímž si zajistila větší pružnost při adaptaci phishingových stránek na konkrétní cíle. To útočníkům umožnilo provést krádež souborů cookie relace.

Tento postup se liší od typických AitM kampaní, které využívají návnadové stránky jako reverzní proxy server k získávání přihlašovacích údajů a časově omezených hesel (TOTP) zadaných oběťmi. Microsoft popsal, že útočníci vytvořili webovou stránku imitující přihlašovací stránku cílové aplikace, umístěnou v cloudové službě. Údaje získané z této stránky umožnily útočníkům spustit ověřovací relaci s poskytovatelem ověření cílové aplikace. Útočníci zahájí útok posláním podvodného e-mailu, který odkazuje na odkaz vedoucí na podvrženou přihlašovací stránku Microsoftu. Po zadání přihlašovacích údajů a TOTP oběti jsou tyto informace a soubory cookie relace zneužity k získání neoprávněného přístupu do e-mailové schránky oběti a k provedení útoku BEC. Navíc je do cílového účtu přidána dvoufaktorová autentizace pomocí SMS, aby bylo možné přihlásit se pomocí zcizených pověření bez upoutání pozornosti.

Při jednom z nedávných incidentů útočníci zahájili hromadnou spamovou kampaň, při které odeslali více než 16 000 e-mailů kontaktům napadeného uživatele, včetně distribučních seznamů. Útočníci dokonce reagovali na příchozí e-maily, aby minimalizovali riziko odhalení, a následně podnikli kroky k jejich odstranění z poštovní schránky oběti.

V rámci druhé vlny útoku AitM se útočníci zaměřili na příjemce phishingových e-mailů s cílem ukrást jejich přihlašovací údaje a spustit další phishingovou kampaň. „Tento útok ukazuje složitost hrozeb AiTM a BEC, které zneužívají důvěryhodné vztahy mezi prodejci, dodavateli a dalšími partnerskými organizacemi s úmyslem finančních podvodů,“ upozornila společnost Microsoft.

Tato zpráva přichází pouhý měsíc po varování Microsoftu před prudkým nárůstem útoků BEC a stále se vyvíjejícími taktikami kyberzločinců. K těmto taktikám patří využití platforem jako je BulletProftLink pro vytváření škodlivých mailingových kampaní a využití domácích IP adres pro maskování útočných kampaní jako lokálně vytvořených.

Zdroj: Microsoft, thehackernews.com

Zdroj ilustračního obrázku: Brett Jordan on Unsplash