Microsoft предупреждает о всплеске вредоносной активности со стороны нового кластера угроз, который она отслеживает как Storm-0539, за организацию мошенничества с подарочными картами и их кражи с помощью высокоразвитых фишинговых атак по электронной почте и SMS против предприятий розничной торговли в сезон праздничных покупок.
Целью атак является распространение заминированных ссылок, которые направляют жертв на фишинговые страницы "злоумышленник посередине" (AiTM), которые способны получать их учетные данные и токены сеанса.
"Получив доступ к первоначальному сеансу и токену, Storm-0539 регистрирует свое собственное устройство для последующих запросов вторичной аутентификации, обходя средства защиты MFA и оставаясь в среде, используя полностью скомпрометированную идентификацию", - сказал технический гигант в серии сообщений на X (ранее Twitter).
Плацдарм, полученный таким образом, в дальнейшем служит каналом для повышения привилегий, горизонтального перемещения по сети и доступа к облачным ресурсам с целью получения конфиденциальной информации, в частности, для использования услуг, связанных с подарочными картами, для облегчения мошенничества.
Кроме того, Storm-0539 собирает электронные письма, списки контактов и сетевые конфигурации для последующих атак на те же организации, что требует применения надежных методов проверки учетных данных.
Компания Redmond в своем ежемесячном отчете Microsoft 365 Defender, опубликованном в прошлом месяце, описала злоумышленников как финансово мотивированную группу, которая действует как минимум с 2021 года.
"Storm-0539 проводит обширную разведку целевых организаций, чтобы создавать убедительные фишинговые приманки и красть учетные данные пользователей и токены для первоначального доступа", - говорится.
"Злоумышленник хорошо разбирается в облачных провайдерах и использует ресурсы облачных сервисов целевой организации для действий после компрометации".
Раскрытие произошло через несколько дней после того, как компания заявила, что получила постановление суда о наложении ареста на инфраструктуру вьетнамской группы киберпреступников Storm-1152, которая продала доступ примерно к 750 миллионам мошеннических учетных записей Microsoft, а также инструменты обхода проверки личности для других технологических платформ.
Ранее на этой неделе Microsoft также предупредила, что многочисленные субъекты угроз злоупотребляют приложениями OAuth для автоматизации финансово мотивированных киберпреступлений, таких как компрометация деловой электронной почты (BEC), фишинг, крупномасштабные кампании рассылки спама и развертывание виртуальных машин для незаконного майнинга криптовалют.
Целью атак является распространение заминированных ссылок, которые направляют жертв на фишинговые страницы "злоумышленник посередине" (AiTM), которые способны получать их учетные данные и токены сеанса.
"Получив доступ к первоначальному сеансу и токену, Storm-0539 регистрирует свое собственное устройство для последующих запросов вторичной аутентификации, обходя средства защиты MFA и оставаясь в среде, используя полностью скомпрометированную идентификацию", - сказал технический гигант в серии сообщений на X (ранее Twitter).
Плацдарм, полученный таким образом, в дальнейшем служит каналом для повышения привилегий, горизонтального перемещения по сети и доступа к облачным ресурсам с целью получения конфиденциальной информации, в частности, для использования услуг, связанных с подарочными картами, для облегчения мошенничества.
Кроме того, Storm-0539 собирает электронные письма, списки контактов и сетевые конфигурации для последующих атак на те же организации, что требует применения надежных методов проверки учетных данных.
Компания Redmond в своем ежемесячном отчете Microsoft 365 Defender, опубликованном в прошлом месяце, описала злоумышленников как финансово мотивированную группу, которая действует как минимум с 2021 года.
"Storm-0539 проводит обширную разведку целевых организаций, чтобы создавать убедительные фишинговые приманки и красть учетные данные пользователей и токены для первоначального доступа", - говорится.
"Злоумышленник хорошо разбирается в облачных провайдерах и использует ресурсы облачных сервисов целевой организации для действий после компрометации".
Раскрытие произошло через несколько дней после того, как компания заявила, что получила постановление суда о наложении ареста на инфраструктуру вьетнамской группы киберпреступников Storm-1152, которая продала доступ примерно к 750 миллионам мошеннических учетных записей Microsoft, а также инструменты обхода проверки личности для других технологических платформ.
Ранее на этой неделе Microsoft также предупредила, что многочисленные субъекты угроз злоупотребляют приложениями OAuth для автоматизации финансово мотивированных киберпреступлений, таких как компрометация деловой электронной почты (BEC), фишинг, крупномасштабные кампании рассылки спама и развертывание виртуальных машин для незаконного майнинга криптовалют.
