A támadók kanadai alkalmazottakat céloznak „payroll pirate” típusú támadások során


április 14. 13:34

A Storm-2755 néven azonosított pénzügyi motivációjú kiberbűnözői csoport kanadai munkavállalók fizetéseit veszi célba. A támadások az úgynevezett „payroll pirate” módszerre épülnek, amely során a támadók vállalati fiókok kompromittálása után a munkabér utalási adatait manipulálva eltérítik a kifizetéseket.

A támadási lánc (1. ábra) első szakaszában a támadók rosszindulatú Microsoft 365 bejelentkezési oldalakat használtak, amelyek SEO poisoning és malvertising technikák segítségével kerültek a keresőtalálatok élére. A felhasználókat ezekre az oldalakra irányítva szerezték meg a hitelesítési adatokat, valamint munkamenet-cookie-kat és tokeneket. Az így megszerzett információk lehetővé tették az adversary-in-the-middle (AiTM) támadási módszer alkalmazását, amellyel a többfaktoros hitelesítés (MFA) is megkerülhető.

A Microsoft szerint az AiTM keretrendszerek valós időben proxyzzák a teljes hitelesítési folyamatot, így a sikeres bejelentkezést követően megszerezhetők a munkamenet-cookie-k és az OAuth-hozzáférési tokenek. Ez lehetővé teszi, hogy a támadók anélkül férjenek hozzá Microsoft szolgáltatásokhoz, hogy ismételten meg kellene adniuk a hitelesítő adatokat vagy az MFA-kódokat, ezzel megkerülve a hagyományos védelmi mechanizmusokat.

1. ábra A Storm-2755 támadási folyamata forrás: Microsoft

A fiókok kompromittálása után a támadók automatikus levelezési szabályokat hoztak létre, amelyek elrejtették a HR osztálytól érkező, „direct deposit” vagy „bank” kifejezéseket tartalmazó üzeneteket. Ezzel párhuzamosan célzott kereséseket végeztek a levelezésben, majd megtévesztő e-mailek segítségével rávették a HR-munkatársakat a bankszámlaadatok módosítására (2. ábra). ​Amikor a social engineering módszer önmagában nem bizonyult elegendőnek, a támadók közvetlenül is bejelentkeztek a HR-platformokra, például a Workday rendszerbe, ahol a korábban megszerzett munkamenetekkel módosították a bérkifizetési adatokat.

2. ábra A Storm-2755 megtévesztő e-mailje a HR-nek forrás: Microsoft

A Microsoft a kockázatok csökkentése érdekében javasolja:

  • az elavult hitelesítési protokollok letiltását, valamint
  • adathalászat-ellenálló többfaktoros hitelesítési megoldások bevezetését.

Kompromittálás gyanúja esetén kiemelten fontos:

  • a munkamenetek és tokenek azonnali visszavonása,
  • a rosszindulatú levelezési-szabályok eltávolítása, valamint
  • az MFA-beállítások visszaállítása az érintett fiókoknál.

A „payroll pirate” típusú támadások a Business Email Compromise (BEC) csalások egy speciális típusa, melyekkel a kiberbűnözők világszerte jelentős pénzügyi károkat okoznak.

(bleepingcomputer.com)

Címkék

AiTM BEC HR MFA OAuth Storm-2755 business email compromise cookie payroll pirate social engineering token adathalászat e-mail biztonság kétfaktoros azonosítás szervezeti kiberbiztonság

Kapcsolódó tartalmak: