حملات مخفیانه می‌تواند ۵۰ درصد از مشتریان بزرگ آفیس ۳۶۵ را تحت تاثیر قرار دهد

حملات آهسته و روشمند، مشتریان بزرگ مایکروسافت آفیس ۳۶۵ را مورد هدف قرار می‌دهند. یک حمله‌ی گسترده و در عین حال مخفیانه، بر روی حساب‌های کاربری آفیس ۳۶۵ (O365) در ماه می آغاز شده و همچنان ادامه دارد. این یک حمله‌ی low-key است که تلاش می‌کند از رادارها پنهان بماند و توسط یک بات‌نت کوچک از ۸۳ آدرس IP و ۶۳ شبکه، تحویل داده می‌شود. اکثر آدرس‌های IP در چین ثبت شده‌اند، اما فعالیت حمله از ۱۵ کشور دیگر نیز مانند روسیه، برزیل، آمریکا و مالزی آغاز می‌شود.

 

این حمله توسط شبکه‌های Skyhigh، یک وابسته‌ی امنیتی با دسترسی به ابر (CASB)، شناسایی شده و روز پنج‌شنبه در یک پست وبلاگی شرح داده شد. این حمله یک حمله‌ی نیروهای سرسخت متداول به حساب‌های کاربری O365 نیست، بلکه یک حمله‌ی آهسته و روشمند بوده که تلاش می‌کند از برجسته شدن فعالیت خود جلوگیری کند. سندیپ چاندانا، دانشمند مهم اطلاعات در Skyhigh می‌نویسد: «این حمله، در ابتدا یک قسمت بسیار کوچک (معمولا کمتر از ۲ درصد) از پایگاه حساب‌های کاربری O365 را هدف قرار می‌دهد. در مرحله‌ی دوم، به‌منظور تلاش و فرار از رادار دفاع‌های متداول، از هرگونه شیوع در فعالیت‌های نفوذ تهی بوده و به‌طور متوسط برای هر حساب کاربری تنها ۳ تا ۵ بار تلاش می‌کند.»

 

سِخار ساروکای، دانشمند ارشد Skyhigh توضیح می‌دهد: «این پویش بر روی آفیس ۳۶۵، با توجه به تمرکز آن بر حساب‌های کاربری سامانه، نگران‌کننده است که برای اتوماسیون کسب‌وکار امروز ضروری می‌باشد، معمولا به MFA نیازی نداشته و این موضوع به‌طور متداول نظارت امنیتی ضعیفی دارد. شناسایی و محافظت از این حساب‌های کاربری ضعیف در برابر حملات، به یک رویکرد امنیتی ابری-بومی برای داشتن دید کامل نیاز دارد.»

 

هنگامی‌که یک حساب کاربری به خطر می‌افتد، مهاجم هرگونه اطلاعات موجود در صندوق ورودی را استخراج کرده و سپس یک دستور صندوق ورودی جدید ایجاد می‌کند که برای پنهان و هدایت کردن هر پیام ورودی طراحی شده است. مهاجم می‌تواند با استفاده از این صندوق ورودی جدید، تلاش برای حملات فیشینگ داخل شرکت را که شناسایی آن‌ها دشوار است، آغاز کرده و آلودگی را در سراسر شبکه منتشر نماید؛ چاندانا می‌نویسد: «یک حمله به پیوندهای ضعیف با پتانسیل بهره‌برداری‌های بزرگ!». او اضافه می‌کند: «از آنجایی که این حمله، یک حمله‌ی مقاوم است که ممکن است توجهی به آن نشود، امکان دارد مهاجمان براساس سازمان، ظرفیت مناسب را ایجاد کنند و در طول زمان در بخش‌های بزرگ‌تر نفوذ کنند.»

 

حساب‌های کاربری هدف به دقت انتخاب می‌شوند؛ حساب‌های کاربری سامانه به‌جای حساب‌های کاربری مردم! چنین حساب‌هایی دارای ۲ ویژگی مهم هستند، آن‌ها امتیازات دسترسی بالا و حفاظت ضعیفی دارند. نایجِل هاوتورن، مدیر ارشد Skyhigh در اروپا به سکیوری‌ویک گفت: «ما با مشتریان خود کار کرده و مشاهده کرده‌ایم که مهاجمان حساب‌های خدمات (مانند مواردی که برای تامین کاربر در شرکت‌های بزرگ استفاده می‌شوند)، حساب‌های اتوماسیون (مانند مواردی که برای خودکار کردن داده‌ها و پشتیبان‌گیری از سامانه استفاده می‌شوند)، حساب‌های دستگاه (مانند مواردی که برای برنامه‌های کاربردی در مراکز داده‌ها استفاده می‌شوند)، حساب‌های اتوماسیون بازاریابی (مانند مواردی که برای بازاریابی و ارتباطات مشتری استفاده می‌شوند)، حساب‌های ابزارهای داخلی (مانند مواردی که با JIRA، Jenkins، GitHub و غیره استفاده می‌شوند)، همچنین حساب‌هایی که برای فهرست‌های توزیع و صندوق‌های رایانامه‌ی مشترک و منتخب راه‌اندازی می‌شوند، را مورد استفاده قرار داده‌اند.

 

نام حساب‌های کاربری هدف، ممکن است حدس زده شود (به‌عنوان مثال، CRMlink@domain) و یا از فهرست گواهی‌نامه‌های به سرقت رفته که در بازار سیاه منتشر شده‌اند، به‌دست آید. Skyhigh هنگامی‌که موتور تشخیص ناهنجاری‌های یادگیری ماشین آن، مکان‌های دسترسی غیرمعمول در چندین مشتری که از الگوهای رفتاری استاندارد جلوگیری می‌کردند را شناسایی کرد، حملات را کشف کرد. این شرکت میلیاردها حادثه‌ی O365 را میان صدها مشتری تجزیه و تحلیل کرد: «با افزایش تعداد مکان‌های دسترسی غیرمعمول، ابزار تشخیص‌دهنده‌ی تهدید Skyhigh، چندین تلاش برای دسترسی غیرمعمول را با این تهدیدها مرتبط دانست.»

 

اگرچه این حمله بر روی مشتریان Skyhigh شناسایی شده است، با این حال، این مسئله تنها مشکل Skyhigh نیست. هاوتورن به سکیوری‌ویک گفت: «ما متوجه شدیم که بیش از ۵۰ درصد از مشتریان ما مورد حمله قرار گرفته‌اند و من فکر می‌کنم این عادلانه است که فرض کنیم ۵۰ درصد از مشتریان بزرگ آفیس ۳۶۵، حتی اگر مشتریان Skyhigh نباشند نیز مورد حمله قرار قرار گرفته‌اند.»

 

۸۴ آدرس IP مهاجم شناسایی شده، به محققانی بازگشت داده است که فهرست آدرس‌های IP مخرب شناخته شده را جمع‌آوری و منتشر می‌کنند. هیچ‌کدام از آن‌ها قبلا در فهرست موجود نبوده‌اند. برخی از شرکت‌ها هنوز برای مسدود کردن IPهای شخصی، به این فهرست‌ها وابسته هستند، اما هاوتورن پیشنهاد می‌کند: «بهترین راه برای حل این موضوع، تجزیه و تحلیل رفتاری کاربر و یادگیری ماشین است که نشان می‌دهد الگوهای ترافیکی غیرمعمول به‌سمت خدمات ابر شما درحرکت هستند یا نه؟ و نیز قادر به پاسخ‌گویی به وضعیت جریان‌ها است.»

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید