Một lần nữa, tin tặc lại sử dụng SharePoint để nhắm mục tiêu vào các công ty năng lượng lớn, đánh cắp thông tin đăng nhập email của nhân viên và lan rộng cuộc tấn công.
Theo một báo cáo mới từ Microsoft , "nhiều" tổ chức lớn trong lĩnh vực năng lượng đã trở thành mục tiêu tấn công.
Cuộc tấn công bắt đầu từ một tài khoản email đã bị xâm nhập trước đó . Bọn tội phạm sử dụng tài khoản này để liên lạc ban đầu, gửi một email trông có vẻ hợp pháp kèm theo liên kết SharePoint. Khi nhấp vào liên kết, nạn nhân sẽ được chuyển hướng đến một trang web thu thập thông tin đăng nhập, nơi họ được yêu cầu đăng nhập.
Nên làm gì để giữ an toàn
Các nạn nhân cố gắng đăng nhập thực chất đã chia sẻ thông tin đăng nhập của mình với kẻ tấn công, những kẻ này sẽ có quyền truy cập vào các tài khoản email doanh nghiệp thực sự và truy cập chúng từ một địa chỉ IP khác. Sau đó, chúng thực hiện một vài bước để thiết lập quyền kiểm soát trong khi ẩn mình khỏi các nạn nhân.
Các bước đó bao gồm tạo quy tắc hộp thư đến để xóa tin nhắn đến và đánh dấu email là đã đọc.
Bước cuối cùng, tin tặc gửi một lượng lớn email lừa đảo mới đến cả các liên hệ nội bộ và bên ngoài, cũng như các danh sách phân phối. Hộp thư đến được theo dõi, các email báo lỗi gửi không thành công hoặc email vắng mặt (OOO) sẽ bị xóa và để duy trì vẻ ngoài hợp pháp, chúng sẽ đọc phản hồi và trả lời các câu hỏi.
Microsoft không chia sẻ chi tiết về chiến dịch này và mức độ thành công của nó. Chúng ta không biết chính xác số lượng tổ chức bị nhắm mục tiêu, hoặc có bao nhiêu người bị xâm phạm hộp thư đến do chiến dịch này.
Công ty nhấn mạnh rằng đối với những người đã bị xâm nhập, việc chỉ đơn giản đặt lại mật khẩu sẽ không đủ, vì bọn tội phạm đã tạo ra các quy tắc và thay đổi cài đặt cho phép chúng tiếp tục hoạt động ngay cả khi bị đánh bật.
Microsoft cảnh báo: "Ngay cả khi mật khẩu của người dùng bị xâm phạm được đặt lại và các phiên đăng nhập bị thu hồi, kẻ tấn công vẫn có thể thiết lập các phương thức duy trì đăng nhập để kiểm soát quá trình này bằng cách can thiệp vào xác thực đa yếu tố (MFA) ."
"Ví dụ, kẻ tấn công có thể thêm chính sách xác thực đa yếu tố (MFA) mới để đăng nhập bằng mật khẩu dùng một lần (OTP) được gửi đến số điện thoại di động đã đăng ký của kẻ tấn công. Với các cơ chế duy trì quyền kiểm soát này, kẻ tấn công có thể kiểm soát tài khoản của nạn nhân bất chấp các biện pháp khắc phục thông thường."
Bên cạnh xác thực đa yếu tố (MFA), Microsoft cũng đề xuất các chính sách truy cập có điều kiện, có thể kích hoạt cảnh báo nếu đáp ứng một số điều kiện nhất định.
