Steeds meer organisaties maken tegenwoordig gebruik van multifactor-authenticatie (MFA). Maar, in tegenstelling tot wat men zou verwachten, lukt het cybercriminelen steeds vaker om cloudaccounts over te nemen bij bedrijven die MFA hebben geïmplementeerd. Data van Proofpoint tonen aan dat minstens 35% van alle gecompromitteerde gebruikers in het afgelopen jaar MFA gebruikte.
Aanvallers gebruiken geavanceerde en geautomatiseerde tools om in realtime te bepalen of een gebruiker een belangrijke functie heeft. Vervolgens krijgen ze via die tool direct toegang tot het account. Dit, terwijl ze minder interessante profielen links laten liggen.
Enorme campagne
Sinds begin maart volgen onderzoekers van Proofpoint een aanvalscampagne die EvilProxy inzet om duizenden Microsoft 365-accounts aan te vallen. De omvang van deze campagne is enorm. Tussen maart en juni 2023 verzonden criminelen 120.000 phishing-e-mails naar honderden organisaties. Die waren verspreid over heel de wereld.
Fase 1 – EvilProxy in actie
In de eerste fase doen aanvallers zich voor als bekende diensten, zoals het onkostenbeheersysteem Concur, DocuSign of Adobe. Ze gebruiken vervalste e-mailadressen om phishing-e-mails te versturen met links naar schadelijke Microsoft 365 phishing-websites.
Om detectie door beveiligingsoplossingen te voorkomen en de gebruiker te verleiden op de links te klikken, maken aanvallers gebruik van omleidingslinks op gerenommeerde websites. Denk daarbij onder meer aan YouTube. Bij het analyseren van enkele omleidingslinks ontdekten de onderzoekers een klein, maar belangrijk detail dat deze campagne onderscheidt van andere aanvallen. Het ging om een kleine typefout in de omleidingslink. In plaats van de gebruiker naar een “https”-pagina te leiden, verwezen de aanvallers per ongeluk naar een “hhttps”-adres. Dat leidde tot een mislukte omleiding.
Fase 2 – Accountovername
Niet alle gebruikers die in de eerste phishing-aanval trapten en hun data deelden, werden benaderd door kwaadwillende criminelen. In tegenstelling tot andere campagnes gaven aanvallers in dit geval duidelijk alleen prioriteit aan “VIP”-doelen. Ze negeerden ze werknemers die minder waardevol voor hen waren.
Volgens het onderzoek richtten aanvallers zich met name op gebruikers in belangrijke functies. Zoals C-level executives en VP’s bij toonaangevende bedrijven. Van de honderden slachtoffers was ongeveer 39% een leidinggevende op C-level. Waarvan 17% Chief Financial Officer en 9% president of CEO. Deze mensen zijn extra interessant voor cybercriminelen omdat zij vaak toegang hebben tot gevoelige data en financiële middelen.
Fase 3 – Vervolgacties na een geslaagde aanval
Aanvallers die toegang hadden tot een account probeerden vervolgens hun positie binnen de cloudomgeving van de getroffen organisatie te verstevigen. In meerdere gevallen maakten aanvallers gebruik van een Microsoft 365-applicatie om MFA verder te manipuleren. Door gebruik te maken van ‘My Sign-Ins’ konden aanvallers hun eigen MFA-methode toevoegen. Zo kregen blijvend toegang tot gecompromitteerde gebruikersaccounts. De favoriete authenticatiemethode voor aanvallers was “Authenticator App met notificatie en code”.
Groot gevaar
Reverse proxy-dreigingen, en EvilProxy in het bijzonder, zijn een groot gevaar in het huidige dynamische landschap en winnen het van de minder capabele phishing-kits van vroeger. Ze zijn aanzienlijk in populariteit gestegen en hebben cruciale gaten in de verdedigingsstrategieën van organisaties blootgelegd. Om die reden schakelen aanvallers snel over op eenvoudig te gebruiken geavanceerde phishing-kits, waardoor de effectiviteit en snelheid van hybride aanvallen toeneemt.
