Cybercriminelen blijken steeds vaker de beveiligingsmuren van bedrijven te doorbreken, zelfs wanneer die zijn versterkt met multifactor-authenticatie (MFA). Aanvallers gebruiken vervolgens geavanceerde en geautomatiseerde tools om te bepalen of een gebruiker een belangrijke, dan wel hoge functie heeft. Als dat ze is, verkrijgen ze via die tool direct toegang tot het account.
De aanvallers maken gebruik van geavanceerde tools om in realtime de meest waardevolle doelwitten te identificeren binnen cloudaccounts van bedrijven. Zij verschaffen zich directe toegang tot deze cruciale accounts, terwijl ze de minder prominente doelen links laten liggen.
Sinds maart dit jaar heeft Proofpoint een aanvalscampagne gemonitord die EvilProxy inzet om duizenden Microsoft 365-accounts wereldwijd aan te vallen. Gedurende de periode van maart tot juni 2023 werden ongeveer 120.000 phishing-e-mails verzonden naar diverse organisaties.De aanvallers hanteren diverse tactieken, waaronder merkvervalsing, omleidingstechnieken en een geraffineerde aanvalsketen met meerdere stappen om detectie te ontwijken.
1e fase
In de eerste fase van de aanval presenteren de aanvallers zich als vertrouwde diensten zoals Concur, DocuSign en Adobe, en sturen ze phishing-e-mails met schadelijke links naar Microsoft 365 phishing-websites. Opmerkelijk is een subtiel detail - een typefout in een omleidingslink - waardoor sommige omleidingen mislukten.
2e fase
Nadat gebruikers zijn verleid om hun gegevens te delen, selecteren de aanvallers doelgericht "VIP"-doelen, zoals C-level executives en VP's, terwijl ze andere accounts negeren. Bijna 39% van de getroffen slachtoffers bekleedde een C-level positie, waarbij CFO's en CEO's onder de voornaamste doelen vielen.
3e fase
Eenmaal toegang verkregen tot een account, versterken de aanvallers hun positie binnen de cloudomgeving van het bedrijf. Ze manipuleren MFA door gebruik te maken van Microsoft 365-applicaties en voegen hun eigen MFA-methode toe voor blijvende toegang.
Geen volledige bescherming
Deze ontwikkelingen benadrukken dat MFA geen volledige bescherming biedt tegen geavanceerde dreigingen voor cloud-accounts. De snelle opkomst van bedreigingen zoals EvilProxy heeft de kwetsbaarheid van organisaties blootgelegd, en de dreiging van hybride aanvallen blijft groeien.
Bron: Winmagpro