Σύμφωνα με νέες αναφορές, οι χάκερ έχουν εκμεταλλευτεί τα εργαλεία cloud της Microsoft για να στοχεύσουν διαδικασίες μισθοδοσίας και ανθρώπινου δυναμικού, πλανώμενοι ευχάριστα μέσα στα εταιρικά δίκτυα. Αυτή η στρατηγική εγκληματιών, που έχει θεαθεί πρόσφατα, επικεντρώνεται στην αναδρομολόγηση μισθών σε λογαριασμούς ελεγχόμενους από τους δράστες, προκαλώντας σοβαρές αβεβαιότητες για εταιρείες σε διάφορες βιομηχανίες.
Η συγκεκριμένη μέθοδος είναι ιδιαίτερα ύπουλη, καθώς οι δράστες δεν χρειάζονται να εμφυτεύσουν κακόβουλο λογισμικό ή να εκμεταλλευτούν τρωτά σημεία. Αντί αυτού, κλέβουν ενεργές συνδέσεις μέσω phishing σελίδων (known as Adversary-in-the-Middle, AiTM), οι οποίες βρίσκονται ανάμεσα στους χρήστες και τη ψεύτικη πύλη εισόδου του Microsoft 365. Αυτό τους επιτρέπει να αποκτούν πρόσβαση στα ευαίσθητα δεδομένα χωρίς να χρησιμοποιήσουν ποτέ τον αρχικό κωδικό πρόσβασης του χρήστη.
Ακολουθώντας αυτή τη διαδικασία, οι εισβολείς αποκτούν εύκολα πρόσβαση σε λογαριασμούς, παρακάμπτοντας πλήρως τη διαδικασία ελέγχου ταυτότητας πολλαπλών παραγόντων. Αφού αποκτήσουν πρόσβαση στο λογαριασμό Microsoft 365 του θύματος, επικεντρώνονται στο Microsoft Graph API, ένα εργαλείο που χρησιμοποιείται για την αναζήτηση πληροφοριών καταλόγου, προσδιορίζοντας χρήστες με τίτλους σχετικούς με τη μισθοδοσία και ανθρώπινο δυναμικό.
Αυτή η διαδικασία εντοπισμού μπορεί να ολοκληρωθεί μέσα σε λίγα λεπτά, παρέχοντας στους εγκληματίες μια στοχευμένη λίστα με τα άτομα που χρειάζονται για να ανακατευθύνουν τις μισθοδοσίες. Σύμφωνα με αναφορές, οι καμπάνιες αυτές έχουν παρατηρηθεί σε τομείς όπως η υγειονομική περίθαλψη, οι υπηρεσίες τροφίμων και η παραγωγή, γεγονός που υποδηλώνει την εκτενή απειλή που εκπροσωπούν.
Οι χάκερ και η αξιοποίηση του Microsoft Graph
Σε παραβιασμένα περιβάλλοντα, οι έρευνες μέσω του Microsoft Graph εντοπίζουν σχεδόν τα ίδια μοτίβα. Οι δράστες αρχίζουν με μια μαζική ανάκτηση πληροφοριών χρηστών, όπως η εντολή /v1.0/users?$top=999, και χρησιμοποιούν φίλτρα αναζήτησης για να βρουν χρήστες με σχετικές λέξεις-κλειδιά. Αυτή η διαδικασία εκτός από γρήγορη, τους δίνει πρόσβαση σε πληθώρα χρηστών με αρμοδιότητες που σχετίζονται με τη μισθοδοσία.
Τα διακριτικά εξουσιοδότησης που χρησιμοποιούνται δίνουν στους εισβολείς ευρείες άδειες, επιτρέποντάς τους πρόσβαση σε κρίσιμες πληροφορίες, γεγονός που αυξάνει κατά πολύ την πιθανότητα επιμονής μέσω εγκεκριμένων εφαρμογών που επιβιώνουν ακόμα και μετά την επαναφορά κωδικών.
Η καμπάνια, που παρακολουθείται από τη Microsoft ως Storm-2755 και Storm-2657, έχει προκαλέσει σοβαρές ανησυχίες για την ασφάλεια. Η ταχύτητα με την οποία οι δράστες εντοπίζουν και στοχεύουν χρήστες είναι ανησυχητική, ιδίως καθώς αφήνουν τον παραδοσιακό εντοπισμό από εταιρείες απολύτως αδύνατο.
Προστασία ενάντια στις επιθέσεις πειρατείας μισθοδοσίας
Οι οργανισμοί που επιθυμούν να προστατευτούν από τέτοιες επιθέσεις πρέπει να βασίζονται σε καινοτόμες μεθόδους παρακολούθησης και άμυνας. Η SRAισχυρίζεται ότι οι καλύτερες πρακτικές περιλαμβάνουν την ενεργοποίηση της καταγραφής δραστηριότητας του Microsoft Graph και την προώθηση αυτών των πληροφοριών σε μια κεντρική βάση δεδομένων παρακολούθησης ασφαλείας (SIEM).
Επιπλέον, είναι κρίσιμο να αναπτύξουν μηχανισμούς MFA που να είναι ανθεκτικοί σε επιθέσεις phishing, όπως η χρήση κλειδιών ασφαλείας FIDO2 ή Windows Hello for Business. Οι παραδοσιακές μεθόδους ελέγχου ταυτότητας δεν προσφέρουν την απαραίτητη προστασία απέναντι στην κλοπή διακριτικών AiTM.
Τα οργανωτικά μέτρα πρέπει επίσης να περιλαμβάνουν τη λεπτομερή ανασκόπηση τυχόν αλλαγών στις ρυθμίσεις μισθοδοσίας και την αυστηρή επαλήθευση οποιωνδήποτε αιτημάτων. Μόλις γίνει μια παραβίαση, είναι επιτακτική η ανάγκη για τις ομάδες ανθρώπινου δυναμικού να αναγνωρίζουν ότι οτιδήποτε σχετίζεται με αλλαγές μισθοδοσίας είναι ύποπτο μέχρι να επαληθευτεί μέσω ενός ασφαλούς καναλιού.
Δείκτες Συμβιβασμού:
| Τύπος | Δείκτης | Περιγραφή |
|---|---|---|
| User-Agent | axios/1.7.9 |
Παρατηρήθηκε στην αποκατάσταση λογαριασμού |
| User-Agent | Firefox 131.0 (rv:131.0) |
Χρησιμοποιήθηκε στη διαδικασία αιτημάτων του Microsoft Graph |
Σημείωμα: Οι IP διευθύνσεις και οι τομείς έχουν αλλοιωθεί σκοπίμως για την προστασία της ασφάλειας. Αναλύστε μόνο σε ελεγχόμενες πλατφόρμες πληροφοριών απειλών.
