Масштабное, но скрытое нападение на учетные записи Office 365 (O365) началось в мае и продолжается по сегодняшний день.  Эта неприметная атака, пытается скрыться из поля зрения и распространяется ботнетом от 83 IP-адресов на 63 сети. Большинство IP-адресов зарегистрированы в Китае, но активность нападений также зафиксирована из 15 других стран, среди них Россия, Бразилия, США и Малайзия.

Атака была обнаружена компанией Skyhigh Networks, а именно на платформе (CASB) – приложение для безопасности предприятий на базе публичных облачных сервисов.

Нападение не является  традиционной атакой грубой силы против учетных записей O365, но ее можно назвать медленным и методичным агрессивным воздействием, что пытается избежать привлечения внимания своей активностью. «Во-первых, атака нацелена на очень небольшую долю (обычно <2%) от базы данных O365», – пишет Сандип Чандана, главный научный сотрудник в компании Skyhigh. «Во-вторых, она лишена каких-либо всплесков активности взлома и составляет в среднем 3-5 попыток на счет, для того, чтобы попытаться увильнуть от привычной защиты».

«Такая кампания на Office 365 вызывает особую тревогу из-за того, что она сосредоточена на системных учетных записях, которые необходимы для современной автоматизации бизнеса. Также, учетные записи обычно не требуют наличия сайтов MFA и имеют слабый контроль над безопасностью», – объясняет главный научный сотрудник  компании Skyhigh Сехар Саруккай. «Обнаружение и защита от вирусных атак на «слабейшее звено » этих учетных записей требует безопасности, ориентированной на выполнение в облаке для обеспечения полной видимости и решения проблем».

Как только учетная запись поставлена под угрозу, злоумышленник просачивается в любые данные папки «Входящие», а затем создает новый принцип папки «Входящие», предназначенный для отклонения и блокировки любых входящих сообщений.  Отсюда злоумышленник может начать интенсивный процесс обнаружения попыток фишинга в компании и начать распространять заражение по сети: «разрушить слабое звено с повышенным потенциалом эксплойтов», – пишет Чандана. Он добавляет: «Поскольку это постоянная атака, которая может оставаться незамеченной, вероятно, что злоумышленники могут подстраивать полезную нагрузку на основе организации, в которую они проникли, чтобы поглотить со временем большую часть компании».

Намеченные учетные записи выбирают тщательно: обычно рассматриваются регистрационные записи системы, а не пользователей. Такие учетные записи, как правило, имеют две важные характеристики: у них высокие права доступа и слабая защита.

«Мы работали с нашими клиентами», – заявил главный вице-премьер компании Skyhigh Найджел Хоторн, в блоге SecurityWeek, «и увидели, что злоумышленники использовали учетные записи служб (например, те, которые используются для инициализации пользователей на крупных предприятиях), учетные записи службы автоматизации (те, которые используются для автоматизации резервных копий данных и системы), учетные записи компьютеров (те, что используются для приложений в центрах обработки данных), учетные записи автоматизации маркетинга (например, используемые для изучения рынка и коммуникации с клиентами), внутренние учетные записи инструментов (используемые JIRA, Jenkins, GitHub и т. д.), а также учетные записи, настроенные для списков рассылки, общего пользования и передаваемых почтовых ящиков ».

Целевые имена учетных записей, вероятно, были угаданы (например, CRMlink @ domain) или отфильтрованы из украденных списков учетных данных, опубликованных в Даркнете.

Компания Skyhigh выявила атаки, когда ее механизм обнаружения вторжения распознал аномальные местоположения доступа, игнорируя характерную динамическую модель  сразу у нескольких клиентов. «По мере увеличения количества этих аномальных доступов, последовательность угроз компании Skyhigh установила множество нарушений в попытке доступа к угрозам безопасности». Проанализировано миллиарды 0365 событий среди сотен клиентов.

Несмотря на то, что эта атака была обнаружена у пользователей компании Skyhigh, это не свойственная проблема для Skyhigh. «Мы обнаружили, что более 50 процентов наших клиентов подвергаются нападениям», – заявил Хоторнн в блоге SecurityWeek, – «и я считаю есть достаточные основания предполагать, что 50% всех крупных клиентов Office 365 подвергаются атакам, даже если они не являются клиентами компании Skyhigh».

Те идентифицированные 83 атакующих IP-адреса, были отправлены исследователям, которые составляют и публикуют списки известных некорректных IP-адресов. Ни один из них не был включен в реестры. Некоторые компании, которые все еще полагаются на эти списки, чтобы блокировать отдельные IP-адреса: «Но, – как предполагает Хоторн, – это как игра в «Убей крота» в попытках сделать это и быть в курсе каждого адреса, так как злодеи могут модифицировать IP-адреса в считанные секунды. Лучшим способом решения этой проблемы является анализ поведения пользователей и машинное обучение, что указывает на необычные модели трафика, которые исходят из ваших облачных сервисов и способны реагировать на изменчивую ситуацию».

consalting

Специалисты компании «Амика» всегда готовы проконсультировать вас по сервисам, услугам и устройствам защиты ваших ресурсов. Мы занимаемся следующими направлениями:

  • Защита от утечки конфиденциальной информации за пределы компании (DLP).
  • Защита от целенаправленных хакерских атак (APT).
  • Защита от DDOS.
  • Защита мобильных устройств (BYOD и MDM)
  • Аудит и проверка на уязвимость
  • Тесты на проникновение.

Бесплатную консультацию вы можете получить, обратившись к нам по телефону +38 044 355-07-70 или по адресу security@amica.ua.

Остались вопросы? Обращайтесь к нашим специалистам.

Заполните форму справа и наши менеджеры свяжутся с вами в течении 10 минут.

Бесплатная PDF-брошюра

"7 простых способов, как не стать жертвой киберпреступления"

картинка как не стать жертвой киберпреступления

В брошюре вас ждут ответы на такие вопросы, как:

  • Как уберечь себя от программы вымогателя
  • Какую профилактику стоит проводить на своём ПК
  • Правила безопасности
  • Нюансы в стандартных способах защиты от вирусов
  • Что делать чтобы обезопасить компанию от кибератак.

Получите брошюру немедленно, оставив свой email ниже