A Microsoft figyelmeztetése szerint a kiberbűnözők egy új adathalász kampányban élnek vissza a SharePointtal payloadok terjesztésére, kifejezetten az energetikai szektor szervezeteit célozva.
Az egyik Microsoft által elemzett több lépcsős támadás egy úgynevezett adversary-in-the-middle típusú adathalászattal indult, amely során az áldozat egy e-mailt kapott egy megbízható szervezet kompromittált fiókjáról. Az üzenet egy dokumentummegosztási munkafolyamatoknál gyakran használt kinézetet (témát) használt, és egy SharePoint URL-t tartalmazott, amely egy olyan oldalra irányította a felhasználót, ahol a Microsoft-fiók hitelesítő adatainak megadására szólították fel.
Ezt követően a támadók üzleti e-mail kompromittálásra rendezkedtek be: hozzáférést szereztek a feltört postafiókhoz, majd olyan szabályokat hoztak létre, amelyek minden beérkező levelet olvasottként jelöltek meg, illetve automatikusan töröltek. Ezután több mint 600 adathalász e-mailt küldtek ki az áldozat kapcsolatai számára, egy újabb adathalász linkkel.
A Microsoft magyarázata szerint a címzetteket a kompromittált felhasználó postafiókjában található legutóbbi e-mail beszélgetések alapján azonosították. A támadók folyamatosan figyelték a feltört fiókot, és törölték a kézbesítetlen üzeneteket, az automatikus „out-of-office” válaszokat, valamint azokat az e-maileket is, amelyekben a címzettek megkérdőjelezték az adathalász üzenetek hitelességét.
A Microsoft kiemeli, hogy az e-mailek és válaszok törlése bevett gyakorlat a BEC támadások során, célja pedig az, hogy az áldozat ne szerezzen tudomást a támadó tevékenységéről, ezáltal biztosítva a támadás tartósságát. A vállalat szerint a támadók ezt követően egy újabb AitM támadást indítottak azokon a címzetteken keresztül, akik rákattintottak az adathalász hivatkozásra.
Az ilyen típusú támadások elleni erősebb védelem érdekében javasolt bekapcsolni a többtényezős hitelesítést, valamint engedélyezni a feltételes hozzáférési szabályokat a Microsoft Entra környezetben. Ugyanakkor, mivel az AitM támadások során a bejelentkezett munkamenetek maguk is kompromittálódhatnak, az incidenskezelés nem merülhet ki pusztán a jelszavak visszaállításában: szükséges az aktív munkamenetek visszavonása, valamint annak ellenőrzése is, hogy az MFA beállításait nem módosították-e illetéktelenül.
A Microsoft hangsúlyozza, hogy bár az AitM alapú adathalászat célja az MFA megkerülése, a többtényezős hitelesítés továbbra is az identitásbiztonság egyik alapköve, és rendkívül hatékony számos fenyegetés megállításában.
A kockázatok további csökkentése érdekében javasolt a folyamatos hozzáférés-értékelés (Continuous Access Evaluation) alkalmazása, a jelszómentes bejelentkezési megoldások bevezetése, a végpontvédelmi megoldások hálózati védelmi funkcióinak engedélyezése, a mobil eszközök biztonsági védelme, valamint az olyan böngészők használata, amelyek automatikusan felismerik és blokkolják a rosszindulatú weboldalakat.