"Lopende campagne beïnvloedt Azure cloudomgevingen" - Proofpoint

• ‘Office365 Shell WCSS-Client’ (wijst op toegang via de browser tot Office365-applicaties) 

• ‘Office 365 Exchange Online’ (wijst op postcompromis misbruiken van mailboxen, data-exfiltratie en e-maildreigingen) 

• ‘Mijn logins (‘My Signins’ (aanvallers gebruiken dit voor Multi-Factor Authenticatie (MFA) manipulatie) 

• Mijn applicaties (‘My Apps’) 

• Mijn profiel (‘My Profile’) 

Succesvolle initiële toegang leidt vaak tot een reeks ongeoorloofde activiteiten na het compromitteren, waaronder MFA-manipulatie, data-exfiltratie, interne en externe phishing en financiële fraude. Ook mailboxregels, waarbij aanvallers speciale verduisteringsregels voor het uitwissen van hun sporen en het verwijderen van kwaadaardige activiteiten uit de mailbox van de slachtoffers maken, behoort in deze reeks. 

De operationele infrastructuur 

De forensische analyse wijst uit dat de aanval verschillende proxy’s, datahostingdiensten en gekaapte domeinen aan het licht brengt. Deze vormen de operationele infrastructuur van de aanvallers. Door het gebruik van proxyservices, die de ogenschijnlijke geografische herkomst van ongeautoriseerde activiteiten afstemmen op die van de beoogde slachtoffers, omzeilen ze het geo-fencingbeleid. Bovendien stelt het gebruik van vaak wisselende proxyservices dreigingsactoren in staat om hun ware locatie te verhullen. Dit vormt een extra uitdaging voor verdedigers die deze activiteiten blokkeren. Daarnaast gebruiken de dreigingsactoren bepaalde lokale vaste ISP’s. Dit belemmert het weergeven van hun geografische locatie.  

Wat opvalt onder deze non-proxy bronnen zijn het in Rusland gevestigde ‘Selena Telecom LLC’ en de Nigeriaanse providers 'Airtel Networks Limited' en 'MTN Nigeria Communication Limited'. De campagne is nog niet toegeschreven aan een bekende dreigingsactor. Toch bestaat de mogelijkheid dat er Russische en Nigeriaanse aanvallers bij betrokken zijn. Dit trekt parallellen met eerdere cloudaanvallen.  

Versterk de verdediging van organisaties 

De volgende vijf maatregelen dragen bij aan het versterken van de verdediging van een organisatie: 

1. Detecteer en beperk potentiële dreigingen. Loop de logboeken van de organisatie na op specifieke tekenreeksen van de user-agent en brondomeinen.  
2. Dwing onmiddellijke wijzigingen van referenties af voor gecompromitteerde en beoogde gebruikers en forceer periodiek wijziging van wachtwoorden voor alle gebruikers. 
3. Identificeer Account Take Overs (ATOs) en potentieel ongeautoriseerde toegang tot gevoelige bronnen in de cloudomgeving.  
4. Identificeer initiële dreigingsvectoren, waaronder e-maildreigingen (zoals phishing, malware, imitatie enz.), brute-force aanvallen en wachtwoordspraypogingen. 
5. Beperk de verblijfstijd van aanvallers. Zet een beleid voor automatische herstelmaatregelen in en minimaliseer mogelijke schade.  

Het Cloud Security Response Team van Proofpoint volgt deze dreiging op de voet. En op basis van latere ontdekkingen, kunnen aanvullende IOC’s worden toegevoegd. 

Lees voor meer informatie het volledige, Engelstalige bericht.