Steeds meer organisaties maken tegenwoordig gebruik van multifactor-authenticatie (MFA). Maar, in tegenstelling tot wat men zou verwachten, lukt het cybercriminelen steeds vaker om cloudaccounts over te nemen bij bedrijven die MFA hebben geïmplementeerd. Data van Proofpoint toont aan dat minstens 35% van alle gecompromitteerde gebruikers in het afgelopen jaar MFA had ingesteld. Aanvallers gebruiken geavanceerde en geautomatiseerde tools om in realtime te bepalen of een gebruiker een belangrijke functie heeft. Vervolgens krijgen ze via die tool direct toegang tot het account, terwijl ze minder interessante profielen links laten liggen.
Sinds begin maart volgen onderzoekers van Proofpoint een aanvalscampagne waarbij EvilProxy wordt gebruikt om duizenden Microsoft 365-accounts aan te vallen. De omvang van deze campagne is enorm. Tussen maart en juni 2023 werden ongeveer 120.000 phishing-e-mails verzonden naar honderden organisaties, verspreid over heel de wereld.
Tijdens de phishing-fase van de aanval gebruikten aanvallers verschillende technieken:
- Merkvervalsing - Afzenders deden zich voor als bekende diensten en apps, zoals Concur Solutions, DocuSign en Adobe.
- Scanblokkering - Aanvallers beschermden zichzelf tegen cybersecurity-scanbots, waardoor beveiligingsoplossingen schadelijke webpagina's moeilijker konden analyseren.
- Aanvalsketen met meerdere stappen - Aanvallers leidden verkeer om via legitieme websites, zoals YouTube, gevolgd door aanvullende stappen, zoals schadelijke cookies en 404-omleidingslinks.
Fase 1 – EvilProxy in actie
In de eerste fase doen aanvallers zich voor als bekende diensten, zoals het onkostenbeheersysteem Concur, DocuSign of Adobe. Ze gebruiken vervalste e-mailadressen om phishing-e-mails te versturen met links naar schadelijke Microsoft 365 phishing-websites.
Om detectie door beveiligingsoplossingen te voorkomen en de gebruiker te verleiden op de links te klikken, maken aanvallers gebruik van omleidingslinks op gerenommeerde websites, waaronder YouTube. Bij het analyseren van enkele omleidingslinks ontdekten de onderzoekers een klein, maar belangrijk detail dat deze campagne onderscheidt van andere aanvallen. Het ging om een kleine typefout in de omleidingslink: in plaats van de gebruiker naar een "https"-pagina te leiden, verwezen de aanvallers per ongeluk naar een "hhttps"-adres (afbeelding 1). Dat leidde tot een mislukte omleiding.
Afbeelding 1 – Een typefout ("hhttps" in plaats van "https") leidde tot een mislukte omleiding
Fase 2 – Accountovername
Niet alle gebruikers die in de eerste phishing-aanval trapten en hun data hebben gedeeld, werden benaderd door kwaadwillende criminelen. In tegenstelling tot andere campagnes gaven aanvallers in dit geval duidelijk alleen prioriteit aan "VIP"-doelen en negeerden ze werknemers die minder waardevol voor hen waren.
Volgens het onderzoek richtten aanvallers zich met name op gebruikers in belangrijke functies, zoals C-level executives en VP's bij toonaangevende bedrijven. Van de honderden slachtoffers was ongeveer
39% een leidinggevende op C-level, waarvan
17% Chief Financial Officer en
9% president of CEO. Deze mensen zijn extra interessant voor cybercriminelen omdat zij vaak toegang hebben tot gevoelige data en financiële middelen.
Afbeelding 2 - Met name werknemers op C-level worden vaak aangevallen.
Fase 3 – Vervolgacties na een geslaagde aanval
Aanvallers die toegang hadden tot een account probeerden vervolgens hun positie binnen de cloudomgeving van de getroffen organisatie te verstevigen. In meerdere gevallen maakten aanvallers gebruik van een Microsoft 365-applicatie om MFA verder te manipuleren. Door gebruik te maken van 'My Sign-Ins' konden aanvallers hun eigen MFA-methode toevoegen, waardoor ze blijvend toegang kregen tot gecompromitteerde gebruikersaccounts. De favoriete authenticatiemethode voor aanvallers was "Authenticator App met notificatie en code".
Afbeelding 3 - De My Sign-Ins-toepassing van Microsoft wordt gebruikt om MFA te manipuleren.
"Inloggegevens zijn zeer gewild door aanvallers, omdat ze vaak toegang bieden tot waardevolle of gevoelige bedrijfsdata en gebruikersaccounts.Hoewel gestolen inloggegevens veel kansen bieden voor cybercriminelen, hebben niet alle inloggegevens dezelfde waarde. Aanvallers richten zich vaak op specifieke functies of afdelingen en ze ontwikkelen hun methoden en technieken voortdurend om bijvoorbeeld multifactor-authenticatie te omzeilen. In tegenstelling tot wat vaak wordt gedacht, is zelfs MFA geen wondermiddel tegen geavanceerde cloudgebaseerde bedreigingen. Als cybercriminelen een organisatie zijn binnengedrongen, kunnen ze zich verbergen en regelmatig extra aanvallen uitvoeren. Kant-en-klare tools om MFA te omzeilen zijn in trek, waardoor zelfs niet-technische criminelen een phishing-campagne kunnen opzetten en werknemers kunnen overhalen om hun accountinformatie te delen", aldus cloudonderzoekers van Proofpoint.
Reverse proxy-dreigingen, en EvilProxy in het bijzonder, zijn een groot gevaar in het huidige dynamische landschap en winnen het van de minder capabele phishing-kits van vroeger. Ze zijn aanzienlijk in populariteit gestegen en hebben cruciale gaten in de verdedigingsstrategieën van organisaties blootgelegd. Om die reden schakelen aanvallers snel over op eenvoudig te gebruiken geavanceerde phishing-kits, waardoor de effectiviteit en snelheid van hybride aanvallen toeneemt.