- ハッカーがSharePointメールを悪用し、大手エネルギー企業から認証情報を盗む
- 攻撃者は受信トレイルールとMFAの改ざんで永続化し、アクセスを維持する
- Microsoftは防御策として条件付きアクセス ポリシーとフィッシング耐性のあるMFAを推奨
ハッカーは再びSharePointを利用して大手エネルギー企業を標的にし、従業員のメール認証情報を盗み、攻撃をさらに拡大させています。
これはMicrosoftの新しいレポートによるもので、同社はエネルギー分野の大規模組織が「複数」すでに標的にされたと主張しています。
攻撃は、以前に侵害されたメールアカウントから始まります。犯人はこれを初期接触に用い、SharePointリンクを含む正規のように見えるメールを送信します。クリックすると、リンクは被害者を認証情報を収集するウェブサイトへリダイレクトし、そこでログインを促されます。
安全を保つためにすべきこと
ログインしようとした被害者は、実際には攻撃者に認証情報を渡してしまい、攻撃者は実在する企業メールアカウントへのアクセスを獲得し、別のIPアドレスからそれらにアクセスします。その後、被害者に気づかれないようにしつつ、永続化を確立するためのいくつかの手順を踏みます。
それらの手順には、受信メッセージを削除し、メールを既読としてマークする受信トレイルールの作成が含まれます。
最終段階では、攻撃者は社内外の連絡先や配布リストに対して、大量の新たなフィッシングメールを送信します。受信箱は監視され、配信失敗通知や不在(OOO)メールは削除され、正当性があるように見せるため、返信は読まれ、質問には回答されます。
Microsoftは、このキャンペーンとその成功に関する詳細を共有しませんでした。標的となった組織の正確な数や、その結果として何人の受信箱が侵害されたのかは不明です。
同社は、侵害された場合、単にパスワードをリセットするだけでは不十分だと強調しました。犯人がルールを作成し、追い出された後でも永続化を可能にする設定変更を行っているためです。
「侵害されたユーザーのパスワードがリセットされ、セッションが取り消されたとしても、攻撃者はMFAを改ざんすることで、制御された形でサインインする永続化手法を設定できます」とMicrosoftは警告しています。
「たとえば、攻撃者は攻撃者が登録した携帯電話番号に送信されるワンタイムパスワード(OTP)でサインインできる新しいMFAポリシーを追加できます。これらの永続化メカニズムが整っていると、従来の復旧措置にもかかわらず、攻撃者は被害者のアカウントを制御できてしまいます。」
MFAに加えて、Microsoftは、特定の条件が満たされた場合にアラートを発報できる条件付きアクセス ポリシーも提案しました。
翻訳元: https://www.techradar.com/pro/security/microsoft-sharepoint-exploited-to-hack-multiple-energy-firms
