Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

APT-хакеры атакуют пользователей Office 365 через OAuth2

02/10/20

Micro office-1APT-группировка TA2552 использует OAuth2 и другие технологии авторизации на базе токенов для атак на пользователей Office 365 с целью хищения их электронной переписки и контактов.

OAuth – это открытый стандарт для делегирования доступа, использующийся для авторизации в сервисах без необходимости введения пароля. Вместо пароля для аутентификации пользователя стандарт использует статус другого, доверенного сервиса или сайта (например, Google или Facebook), где авторизован этот пользователь.

По данным компании Proofpoint, TA2552 рассылает своим жертвам хорошо подготовленные сообщения-приманки, обманом заставляющие их нажать на вредоносную ссылку. После нажатия на ссылку жертва оказывается на легитимной странице Microsoft, где она может давать согласие на доступ к своим данным приложениям, использующим для авторизации стандарт OAuth2.

Как только жертва авторизуется в своей учетной записи Office 365, от нее требуется предоставить доступ приложениям, подконтрольным злоумышленникам. Киберпреступники просят предоставить разрешение на чтение вредоносному приложению, замаскированному под приложение легитимной организации.

Специалисты Proofpoint настоятельно рекомендуют пользователям внимательно относиться к разрешениям, которые они дают сторонним приложениям. В рамках вредоносной кампании злоумышленники запрашивают разрешение только на чтение контактов, данных профиля и электронной почты. Это дает им возможность шпионить за учетными записями, незаметно похищать информацию и даже перехватывать сообщения для смены паролей от других учетных записей, в том числе банковских. Другими словами, даже такое минимальное разрешение, как только чтение, представляет угрозу безопасности, подчеркивают специалисты.

TA2552 атакует организации по всему миру, но в данной кампании их больше всего интересуют испаноговорящие пользователи Мексики.

Темы:ПреступленияAPT-группыMicrosoft Office
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...