کمیته رکن چهارم – به تازگی مایکروسافت جزئیات مربوط به یک حمله فیشینگ چند مرحلهای در مقیاس عظیم را منتشر کرده است. براساس گزارش مایکروسافت در این حمله از اعتبارنامههای کاربری به سرقت رفته برای ثبت دستگاهها در شبکه قربانی و انتشار ایمیل اسپم و گسترش آلودگی استفاده شده است.
این شرکت اعلام کرده که حملات صورت گرفته از طریق حسابهایی که مجهز به احراز هویت چند مرحلهای نبودند اجرا شدهاند. مهاجمان نیز پس از سوءاستفاده از این سیستمها و بنا بر سیاست «مجاز بودن استفاده از دستگاههای شخصی در محیط کار» برای ثبت دستگاههای خودشان در محیطهای سازمانی با اعتبارنامههای به سرقت رفته، استفاده کردند.
بنا بر گفتههای تیم هوش تهدید Microsoft 365 Defender این حمله طی دو مرحله اجرا شده است. مرحله اول شامل سرقت اعتبارنامههای کاربری در سازمانهای مدنظر مستقر در کشورهای استرالیا، سنگاپور، اندونزی و تایلند بوده است. در مرحله دوم نیز هکرها با استفاده از این اعتبارنامههای به سرقت رفته مسیرشان را با حرکت عرضی در شبکه گسترش داده و حتی با ارسال هرزنامه فراتر از محیط سازمان حرکت کردند».
در این حمله ابتدا یک فایل فیشینگ طراحی شده و با نام شرکت داکساین یا DocuSign که حاوی فقط یک لینک بود ارسال میشد. کاربر به محض کلیک بر روی این لینک به یک وبسایت جعلی که صفحه ورود به آن مشابه صفحه ورود به آفیس ۳۶۵ بود هدایت میشد. هدف از طراحی چنین صفحهای جمعآوری نام کاربری و کلمه عبور کاربران بوده است.
چنین روشی برای سرقت اعتبارنامههای کاربری علاوه بر نفوذ به بیش از ۱۰۰ حساب ایمیل در شرکتهای مختلف امکان عدم تشخیص هکرها را هم فراهم میکرد. سپس مهاجمان با سوءاستفاده از دستگاههایی که مجهز به احراز هویت دو مرحلهای نبودند، دستگاههای جدید را در اکتیو دایرکتوری آژور سازمان ثبت نموده و پیامهای مخرب را منتشر میکردند.
در این روش، پس از اتصال دستگاههای تحت کنترل هکرها به شبکه امکان گسترش جای پای مهاجمان در شبکه، تشدید مخفیانه حمله و حرکت عرضی در شبکه هدف فراهم میشد.
بنا بر گفته مایکروسافت: «مهاجمان در موج دوم حمله از صندوقهای ایمیل هک شده کاربران برای ارسال پیامهای آلوده به بیش از ۸۵۰۰ کاربر در درون و خارج از سازمان هدف استفاده میکردند. این ایمیلها ظاهراً حاوی لینک دعوت SharePoint بودند. بنابراین کاربران تصور میکردند که فایل Payment.pdf به اشتراک گذاشته شده معتبر و سالم است».
از این رو حملات مهندسی اجتماعی مبتنی بر ایمیل همچنان جزو ابزارها و روشهای پرکاربرد برای حمله به سازمانها جهت نفوذ و انتشار بدافزار محسوب میشوند.
پیش از این نیز Netskope Threat Labs گزارش مربوط به یک حمله جدید منتصب به گروه OceanLotus را منتشر کرد. مجرمان سایبری در این حمله از انواع فایلهای غیراستاندارد مثل فایلهای آرشیو وب (.MHT) جهت دور زدن سازوکارهای شناسایی مبتنی بر امضا استفاده نموده و بدافزارهای مخصوص سرقت اطلاعات را نصب میکردند.
علاوه بر احراز هویت چند مرحلهای، پیادهسازی روشهایی مثل اصول مراقبت از اعتبارنامههای کاربری و تفکیک قسمتهای مختلف شبکه میتواند کار هکرها را برای نفوذ به شبکهها سختتر کند.
براساس گفته مایکروسافت: «پیروی از اصول امنیتی اولیه موجب کاهش قدرت مهاجمان برای حرکت عرضی در شبکه و آلوده کردن دستگاههای بیشتر پس از نفوذ اولیه میشود. بنابراین توصیه میشود که علاوه بر اجرای راهکارهای امنیتی پیشرفتهای که امکان نظارت بر روی دامنهها را فراهم کرده و دادههای مربوط به تهدیدات سایبری را در بین ابزارهای حفاظتی همگامسازی میکنند از رعایت این اصول نیز غافل نشوید».
منبع : فراست
