www.marcommit.nlProgressCommunications.euwww.whizpr.nl
www.deepr.nlwww.deepr.nlINFLUX PR

Volg ook via:
Datum: (2 jaar en 140 dagen geleden)
Bedrijf:
PR: AxiCom

Lopende kwaadaardige campagne beïnvloedt Azure cloudomgevingen

Onderzoekers van cybersecuritybedrijf Proofpoint zien een aanhoudende cloudaccount overnamecampagne. De campagne beïnvloedt tientallen Microsoft Azure-omgevingen en honderden gebruikersaccounts. Ook brengt de campagne accounts van senior executives in gevaar.

De campagne
Onderzoekers van Proofpoint ontdekten eind november 2023 een nieuwe, kwaadaardige campagne die credential phishing en Account Take Over (ATO) technieken uit de cloud integreert. Dreigingsactoren van deze, nog steeds actieve, campagne, richten zich op gebruikers met individuele phishing-lokmiddelen via gedeelde documenten. Bijvoorbeeld via ingesloten koppelingen naar ‘document weergeven’. Zodra de gebruiker op de link klikt, gaat hij naar een schadelijke phishing-webpagina.

De campagne richt zich op veel personen met verschillende titels binnen verschillende organisaties. Hierdoor treffen de dreigingsactoren honderden gebruikers, zoals Sales Directors, Account Managers en Finance Managers, wereldwijd. De campagne treft ook individuele executives, zoals Vice President Operations, Chief Financial Officers & Treasurer en President & CEO’s. De diverse selectie van doelwitten duidt op een praktische strategie die zich focust op het in gevaar brengen van accounts met verschillende toegangsniveaus tot waardevolle bronnen en verantwoordelijkheden in verschillende organisatorische functies.

Dreigingsanalisten identificeren specifieke Indicators of Compromise (IOC’s) die linken naar de campagne. Zo gebruiken de dreigingsactoren een specifieke Linux user-agent tijdens de toegangsfase van de aanvalsketen. Zo krijgen ze toegang tot de aanmeldingsapplicatie ‘OfficeHome’ en ongeautoriseerde toegang tot aanvullende native Microsoft 365-applicaties, zoals:
  • ‘Office365 Shell WCSS-Client’ (wijst op toegang via de browser tot Office365-applicaties)
  • ‘Office 365 Exchange Online’ (wijst op postcompromis misbruiken van mailboxen, data-exfiltratie en e-maildreigingen)
  • ‘Mijn logins (‘My Signins’ (aanvallers gebruiken dit voor Multi-Factor Authenticatie (MFA) manipulatie)
  • Mijn applicaties (‘My Apps’)
  • Mijn profiel (‘My Profile’)
Succesvolle initiële toegang leidt vaak tot een reeks ongeoorloofde activiteiten na het compromitteren, waaronder MFA-manipulatie, data-exfiltratie, interne en externe phishing en financiële fraude. Ook mailboxregels, waarbij aanvallers speciale verduisteringsregels voor het uitwissen van hun sporen en het verwijderen van kwaadaardige activiteiten uit de mailbox van de slachtoffers maken, behoort in deze reeks.

De operationele infrastructuur
De forensische analyse wijst uit dat de aanval verschillende proxy’s, datahostingdiensten en gekaapte domeinen aan het licht brengt. Deze vormen de operationele infrastructuur van de aanvallers. Door het gebruik van proxyservices, die de ogenschijnlijke geografische herkomst van ongeautoriseerde activiteiten afstemmen op die van de beoogde slachtoffers, omzeilen ze het geo-fencingbeleid. Bovendien stelt het gebruik van vaak wisselende proxyservices dreigingsactoren in staat om hun ware locatie te verhullen. Dit vormt een extra uitdaging voor verdedigers die deze activiteiten blokkeren. Daarnaast gebruiken de dreigingsactoren bepaalde lokale vaste ISP’s. Dit belemmert het weergeven van hun geografische locatie.

Wat opvalt onder deze non-proxy bronnen zijn het in Rusland gevestigde ‘Selena Telecom LLC’ en de Nigeriaanse providers 'Airtel Networks Limited' en 'MTN Nigeria Communication Limited'. De campagne is nog niet toegeschreven aan een bekende dreigingsactor. Toch bestaat de mogelijkheid dat er Russische en Nigeriaanse aanvallers bij betrokken zijn. Dit trekt parallellen met eerdere cloudaanvallen.

Versterk de verdediging van organisaties
De volgende vijf maatregelen dragen bij aan het versterken van de verdediging van een organisatie:
  1. Detecteer en beperk potentiële dreigingen. Loop de logboeken van de organisatie na op specifieke tekenreeksen van de user-agent en brondomeinen.
  2. Dwing onmiddellijke wijzigingen van referenties af voor gecompromitteerde en beoogde gebruikers en forceer periodiek wijziging van wachtwoorden voor alle gebruikers.
  3. Identificeer Account Take Overs (ATOs) en potentieel ongeautoriseerde toegang tot gevoelige bronnen in de cloudomgeving.
  4. Identificeer initiële dreigingsvectoren, waaronder e-maildreigingen (zoals phishing, malware, imitatie enz.), brute-force aanvallen en wachtwoordspraypogingen.
  5. Beperk de verblijfstijd van aanvallers. Zet een beleid voor automatische herstelmaatregelen in en minimaliseer mogelijke schade.
Het Cloud Security Response Team van Proofpoint volgt deze dreiging op de voet. En op basis van latere ontdekkingen, kunnen aanvullende IOC’s worden toegevoegd.

Lees voor meer informatie het volledige, Engelstalige bericht.
Recent van Proofpoint  
TA4922: de vermoedelijke Chinese criminele organisatie breidt zich wereldwijd uit

Proofpoint en IBM X-Force ondersteunen verstoring van Operation Endgame

Proofpoint sluit zich aan bij OpenAI Daybreak Cyber Partner Program om verantwoorde, door AI aangestuurde cyberverdediging te bevorderen

Verstreken tijd: 2 jaar en 140 dagen
PR contact  

Logo AxiCom
Proofpoint contact  


Marcommit is hét full service B2B marketing bureau van Nederland! Wij helpen jouw bedrijf met offline en online marketing campagnes die écht werken.
 Spotlight  
Logo NetRom Software
Logo RAVI RYAN MOHANLAL
Logo BTG
Logo NHA Opleidingen
Logo Polly.Help
Logo MI Consultancy
Logo Incentro
Logo Stromma Nederland
Logo Fairbanks
Logo Valid
Logo Westpoort
Logo Brownies.nl
Logo Nextview
Logo Examencentrum
Logo Keuze.nl BV
Logo We talk SEO B.V.
Logo Victoria ID
Logo DNA Services B.V.
Logo Twenty Four Webvertising
Logo Web Wings
Logo Web Wings
Logo BusinessCom
Logo Msafe
Logo SCOS ViaCloud BV
Logo Keuze.nl BV
Logo Spryng
Logo BusinessCom
Logo Web Wings
Logo Web Wings
Logo Web Wings
Logo EPAM Systems
Logo osapiens
Logo Youforce
Logo Veeam Software
Logo Wuunder
Logo SureSync
Logo Proofpoint
Logo Techleap.nl
Logo NetApp
Logo Keepit
Logo Workday
Logo We talk SEO B.V.
Logo Buckaroo B.V.
Logo ENGIE
Logo Exact
TARIEVEN
Publicatie eenmalig €49

PUBLICATIEBUNDELS
6 voor €199
12 voor €349
Onbeperkt €499

EENMALIG PLAATSEN
Persbericht aanleveren

REGELMATIG PLAATSEN
Bedrijfsabonnement
CONTACT
Persberichten.com
JMInternet
Kuyperstraat 48
7942 BR Meppel
Nederland
info@persberichten.com
KvK 54178096

VOLGEN
@ICTBERICHTEN

ZOEKEN
IT bedrijf
IT PR-bureau
OVER ONS
Persberichten.com, hét platform voor IT/Tech persberichten

DATABASE
103868 persberichten
7044 bedrijfsprofielen
60 PR-bureauprofielen
17548 tags

KENMERKEN
• Behouden tekstopmaak
• Foto/illustratie/logo
• Downloadbare bijlages
• Profiel met socials
 
www.marcommit.nlProgressCommunications.euwww.whizpr.nl
www.deepr.nlProgressCommunications.euProgressCommunications.eu