Microsoft upozorava na porast zlonamjerne aktivnosti iz nove grupe prijetnji koju prati kao Storm-0539 za orkestriranje prevara i krađa poklon kartica putem visoko sofisticiranih e-mail i SMS phishing napada na maloprodajne subjekte tokom sezone praznične kupovine.
Cilj napada je propagiranje miniranih linkova koji usmjeravaju žrtve na protivnik u sredini (AiTM) phishing stranice koje su sposobne prikupiti njihove kredencijale i tokene sesije.
“Nakon što dobije pristup početnoj sesiji i tokenu, Storm-0539 registruje svoj vlastiti uređaj za naknadne upite za sekundarnu autentifikaciju, zaobilazeći MFA zaštitu i istrajavajući u okruženju koristeći potpuno kompromitovani identitet,” rekao je tehnološki gigant u nizu postova na X (bivši Twitter).
Uporište dobijeno na ovaj način dalje djeluje kao kanal za eskalaciju privilegija, bočno kretanje kroz mrežu i pristup resursima u oblaku kako bi se dohvatile osjetljive informacije, posebno prateći usluge vezane za poklon kartice kako bi se olakšala prijevara.
Povrh toga, Storm-0539 prikuplja e-poštu, liste kontakata i mrežne konfiguracije za naknadne napade na iste organizacije, što zahtijeva potrebu za robusnom praksom higijene kredencijala.
Redmond, u svom mjesečnom Microsoft 365 Defender izvještaju objavljenom prošlog mjeseca, opisao je protivnika kao finansijski motivisanu grupu koja je aktivna najmanje od 2021.
“Storm-0539 vrši opsežno izviđanje ciljanih organizacija kako bi stvorio uvjerljive phishing mamce i ukrao korisničke kredencijale i tokene za početni pristup,” stoji u izvještaju.
“Haker je dobro upućen u cloud provajdere i koristi resurse iz cloud servisa ciljne organizacije za aktivnosti nakon kompromisa.”
Otkriće dolazi nekoliko dana nakon što je kompanija rekla da je dobila sudski nalog za zaplijenu infrastrukture vijetnamske sajber kriminalne grupe zvane Storm-1152 koja je prodala pristup za približno 750 miliona lažnih Microsoft naloga, kao i alate za zaobilaženje verifikacije identiteta za druge tehnološke platforme.
Ranije ove sedmice, Microsoft je takođe upozorio da više hakera zloupotrebljava OAuth aplikacije za automatizaciju finansijski motivisanih sajber zločina, kao što je kompromitacija poslovne e-pošte (BEC), krađa identiteta, velike kampanje slanja neželjene pošte i implementaciju virtuelnih mašina za ilegalno rudarenje kriptovaluta.
Izvor: The Hacker News