Microsoft 365 omiljen tokom pandemije za napade

15.10.2020. / 12:30

U novom istraživanju koje je uradila kompanija Vectra AI navodi se da hakerii koriste legitimne usluge i alate unutar Microsoftova paketa za produktivnost kako bi pokrenuli digitalne napade na osobe koje rade od kuće tokom COVID-19.

Sudionici prijetnji dosljedno koriste legitimne usluge i alate unutar Microsoft Office 365 sistema kako bi ukrali osjetljive podatke i pokrenuli krađu identiteta (phishinga), ransomware i druge napade preko korporativnih mreža s trajne pozicije unutar paketa smještenih na oblaku, pokazalo je njihovo istraživanje pod nazivom Izvještaj pod lupom 2020.

„Preuzimanje korisničkog računa sistema Office 365, posebno tokom pandemije COVID-19, jedan je od najučinkovitijih načina da se napadač ubaci u mrežu organizacija“, rekao je za ThreatPost,  Chris Morales, voditelj sigurnosne analitike u tvrtki Vectra AI .

Iz te pozicije napadači mogu pokretati različite napade, nešto što su istraživači/ce primijetili kod 96% od 4 miliona klijenata/ica Office 365 sistema uzrokovanih između juna i augusta 2020.

Morales dalje navodi da očekuju da će se trend ovakvih napadi pojačati u mjesecima koji dolaze.

U izvještaju se govori o nekim od najpopularnijih načina na koje napadači koriste Office 365 usluge i alate za ugrožavanje korporativnih mreža. Zapravo, Office 365 pruža široko igralište za napadače. Vodeći paket produktivnosti softvera kao usluge (SaaS) ima više od 250 miliona aktivnih korisnika/ca svakog mjeseca, što ga je učinilo velikom metom hakera.

„Mnogi od tih korisnika/ca trenutno rade od kuće zbog ograničenja COVID-19, često na mrežama koje nemaju istu zaštitu kao korporativni oblak. To dodaje još jedan aspekt pristupačnosti napadaču“, rekao je Morales.

Istraživači/ce su pronašli tri ključna parametra paketa koji napadači iskorištavaju kako bi preuzeli račune i nastavili izvoditi razne napade: OAuth, Power Automate i eDiscovery.

"OAuth se koristi za uspostavljanje uporišta, Power Automate koristi se za zapovijedanje i kontrolu i bočno kretanje, a eDiscovery koristi se za izviđanje i eksfiltraciju", rekao je Morales za Threatpost.

Nakon što napadači iskoristi neki od ovih parametara, postoji niz tehnika koje koriste za ugrožavanje mreža. Oni mogu pretraživati mail, historiju chata i datoteke tražeći šifre ili zanimljive podatke za izbacivanje ili postaviti pravila prosljeđivanja kako bi dobili pristup stalnom protoku vašeg maila bez potrebe za ponovnom prijavom, navodi se u izvještaju.

Kako bi ublažili ove prijetnje, istraživači preporučuju organizacijama da se odmaknu od primjene statičkih, jednokratnih ublažavanja usmjerenih na politiku kontrole, temeljenih na prevenciji i prijeđu na kontekstualniji pristup sigurnosti, rekao je Morales.

"Ovi pristupi i dalje propadaju. Sigurnosni timovi moraju imati detaljan kontekst koji objašnjava kako entiteti koriste svoje privilegije, poznate kao promatrane privilegije, unutar SaaS aplikacija poput Officea 365. Baš kao što napadači posmatraju ili zaključuju interakcije između entiteta, branitelji bi trebali slično razmišljati o svojim protivnicima. Riječ je o obrascima korištenja i ponašanju, a ne o statičnom pristupu. " – zaključuje Morales.

Imajući u vidu da novinari/ke, ali i redakcije, koriste Office 365, vjerujemo da su ove informacije veoma značajne. Redakcije moraju brinuti o sigurnosti svojih novinara/ki koji nerijetko rade od kuće.

Ocijenite kvalitet članka