Обнаружена новая хитроумная атака на корпоративных пользователей Office 365

Атака получила название KnockKnock («тук-тук»), поскольку атакующие «стучат» в системные учетные записи.

Специалисты Skyhigh Networks обнаружили масштабную вредоносную кампанию, в ходе которой киберпреступники используют новую хитроумную технику атаки на корпоративных пользователей Office 365, получившую название KnockKnock.

Кампания началась в мае нынешнего года и продолжается по сей день. В распоряжении злоумышленников есть небольшой ботнет из 83 IP-адресов в 63 сетях. Боты находятся в пятнадцати странах, в том числе в Бразилии, России, США и Малайзии, однако большинство скомпрометированных систем приходятся на Китай.

Как пояснили исследователи, атака получила название KnockKnock («тук-тук»), поскольку атакующие «стучат» в системные учетные записи через «заднюю дверь» (бэкдор) для проникновения в среду Office 365. К примеру, они нацеливаются на учетные записи служб, а также на учетные записи, используемые для автоматизации процесса резервного копирования, для приложений в дата-центрах, для внутренних инструментов, используемых с JIRA, Jenkins и GitHub, и т.д.

«Одним из ключевых отличий новой атаки является характер целевых учетных записей. KnockKnock предполагает атаку прежде всего на системные учетные записи, не привязанные к какому-либо пользователю», – сообщили исследователи.

Злоумышленники остановили свой выбор на системных учетных записях неспроста. Учитывая их предназначение, у системных аккаунтов больше привилегий по сравнению с обычными. Кроме того, они редко используют технологию единого входа или многофакторную аутентификацию, а политика паролей для таких аккаунтов более лояльная.

С целью остаться незамеченными, злоумышленники не прибегают к брутфорсу, а действуют медленно и методично. Они атакуют лишь небольшую часть (обычно менее 2%) учетных записей Office 365 и ограничиваются 3-5 попытками взлома для каждого аккаунта.

Получение доступа к учетной записи – первый этап атаки на корпоративную сеть. Далее атакующие просматривают содержимое электронной почты и задают новые политики для перехвата входящих сообщений. Затем для продолжения атаки злоумышленники используют фишинг или другие техники.

Обнаружена новая хитроумная атака на корпоративных пользователей Office 365
Подписывайтесь на канал “SecurityLab” в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.