Proofpoint, een prominente onderneming in de sector van cybersecurity en naleving van de regels, heeft een wijdverbreide cyberaanvalcampagne ontdekt die honderden gebruikersaccounts over de hele wereld heeft gecompromitteerd, met een focus op het cloudcomputing platform Microsoft Azure. Sinds november 2023 heeft deze actieve campagne geavanceerde phishingtechnieken en het toe-eigenen van accounts gebruikt om specifiek hoge leidinggevenden te targeten, waaronder verkoopdirecteuren, accountmanagers en financiële beheerders. De aanvallers hebben gepersonaliseerde lokaas gebruikt binnen gedeelde documenten om te infiltreren in bedrijfsomgevingen en toegang te krijgen tot waardevolle bronnen.
Het onderzoek van Proofpoint heeft het mogelijk gemaakt om unieke compromitterende indicatoren te identificeren, zoals het gebruik van een ongebruikelijke Linux-gebruikersagent om toegang te krijgen tot de OfficeHome-app, naast ongeoorloofde toegang tot andere native Microsoft365-applicaties. Na een succesvolle eerste toegang voeren de aanvallers diverse activiteiten uit na de compromittering, die manipulatie van multifactorauthenticatie, data-exfiltratie, zowel interne als externe phishing, financiële fraude en het implementeren van regels om bewijs van hun kwaadaardige aanwezigheid te verwijderen, omvatten.
De cybercriminelen opereren met behulp van een complexe infrastructuur die proxy servers, datahostingservices en gekaapte domeinen omvat. Deze configuratie verbergt niet alleen hun daadwerkelijke locatie, maar vormt ook een aanzienlijke uitdaging voor verdedigers die proberen deze kwaadaardige activiteiten te blokkeren. Hoewel Proofpoint deze campagne niet heeft gekoppeld aan een specifieke groep van cybercriminaliteit, suggereren de patronen en technieken die gebruikt worden de mogelijke betrokkenheid van Russische en Nigeriaanse actoren, volgend op trends die waargenomen zijn in eerdere aanvallen gericht op cloudplatforms.
In het aangezicht van deze dreiging raadt Proofpoint organisaties aan om een reeks beschermingsmaatregelen te nemen. Deze omvatten het monitoren van de gebruikersagent- en oorsprongsdomeinketen om risico’s te detecteren en te mitigeren, het onmiddellijk wijzigen van inloggegevens voor getroffen gebruikers, het periodiek wijzigen van wachtwoorden voor alle gebruikers, het identificeren van onbevoegde toegang tot vertrouwelijke cloudbronnen, en het implementeren van beleid voor automatische correctie. Deze acties hebben als doel de verblijftijd van aanvallers in gecompromitteerde systemen te verkorten en de potentiële schade te minimaliseren.
De waarschuwing van Proofpoint benadrukt het belang van constante waakzaamheid en het aannemen van robuuste veiligheidspraktijken om cloudomgevingen te beschermen tegen de gesofisticeerde tactieken van cybercriminelen.