קמפיין פישינג חדש מנצל את Microsoft 365 "ביעילות חסרת תקדים"
עם קובצי PDF, QR Codes והתחזות מושלמת לאאוטלוק, תוקפים משתמשים במיקרוסופט כדי לעקוף מנגנוני אבטחה ומגיעים ללא פחות מ-70% הצלחה
תמונה:Unsplash
דוח חדש של חברת הסייבר ReliaQuest חשף איך תוקפים משתמשים בכלים לגיטימיים כדי לייצר מתקפת פישינג חדשה ומתוחכמת במיוחד שמנצלת את Microsoft כדי להפיל אתכם בפח. ההונאה החדשה, שמתבססת על שימוש של התוקפים בכלי Axios ו-Direct Send של מיקרוסופט, מאפשרת להם לעקוף כלי אבטחה של יישומי דואר אלקטרוני ולחדור ישירות לתיבת הדואר של המשתמש. לפי הנתונים, לקמפיינים ששילבו את שני הכלים הייתה הצלחה של 70%, הרבה יותר גבוהה מקמפיינים אחרים – תוצאה שמוגדרת על ידי החוקרים כ"יעילות חסרת תקדים".
הטכנולוגיה שמאחורי המתקפה
השימוש הזדוני ב-Axios (ספריית HTTP רבת שימוש ב-JavaScript ו-Node.js) דווח כבר בינואר 2025 על ידי Proofpoint, שתיארה קמפיינים שניצלו לקוחות HTTP לשליחת בקשות וקבלת תגובות מהשרתים – כחלק מניסיונות השתלטות על חשבונות בסביבות Microsoft 365.
גם תכונת Direct Send – יכולת לגיטימית לחלוטין שמאפשרת לשלוח מיילים ישירות מתוך Microsoft 365 – הפכה בשנה האחרונה לכלי מרכזי בקמפיינים שמתחזים לשולחים אמינים ומעבירים מיילים שנראים לגיטימיים.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
השילוב בין שני הכלים מאפשר כאמור לתוקפים לייצר צינור תקיפה יעיל במיוחד, ולפי הדוח, פעילות המשתמשים בזיהוי Axios קפצה ב-241% בין חודש יוני לאוגוסט. לפי חברת הסייבר, הקמפיין החל לפעול בחודש יולי ובמרכזו מנהלים בכירים בעולמות הפיננסים, הבריאות והתעשייה. Axios משמש בתהליך ההתקפה כדי ליירט, לשנות ולשדר מחדש בקשות HTTP – כך שניתן לגנוב אסימוני סשן, קודי אימות דו שלבי (MFA), או לנצל אסימוני SAS של Azure כדי להשיג גישה למשאבים רגישים.
הודעות הדוא"ל המזויפות מכילות טקסט שנועד לפתות את הנמען ומכילות קובצי PDF שמובילים לקודי QR זדוניים. באמתלה של מתן פיצויים או תשלום לעובד, ההודעות מנסות לגרום לנמענים לסרוק את קודי ה-QR כדי להגיע לדף התחברות מזויף שנראה בדיוק כמו Microsoft Outlook. בניסיון להוריד את המגננות של הקורבן, חלק מהדפים המזויפים מתארחים על גבי תשתית Google Firebase, כך שהמשתמש יקבל עוד תחושת אמינות מזויפת.
תמונה: dreamstime
כדי לצמצם את הסיכון, ממליצה ReliaQuest לארגונים לנקוט שורה של צעדים פרואקטיביים: להשבית את יכולת Direct Send אם היא אינה חיונית לפעילות, להחמיר את מדיניות ההגנה מפני התחזות בשערי הדוא"ל, להדריך את העובדים לזהות הודעות חשודות בזמן אמת, ולחסום מראש דומיינים שנראים חשודים גם אם טרם שימשו בפועל במתקפה.
בהמשך לחשיפת ReliaQuest, גם חברות נוספות מדווחות על קמפיינים מתוחכמים שממחישים עד כמה הגבולות בין תשתית לגיטימית לתשתית זדונית הולכים ומטשטשים. כך למשל Mimecast זיהתה קמפיין נרחב בענף המלונאות, שבו נשלחו הודעות מייל שמתחזות להזמנות מ-Expedia Partner Central ו-Cloudbeds – כולל אישורי הזמנה והתראות דחופות שנועדו להפעיל לחץ על מקבלי ההודעה.
פישינג שלא מתבייש לחשוב כמו סטארטאפ
במקביל, קמפיין אחר עושה שימוש בערכת פישינג כשירות (PhaaS) בשם Salty 2FA, שנועדה לעקוף הגנות MFA ולגנוב פרטי גישה לחשבונות Microsoft. הערכה מדמה שישה סוגי אימות שונים, מקוד SMS ואפליקציית אימות ועד טוקן פיזי, כדי להיראות כמה שיותר אמינה. שרשרת ההונאה מתחילה בדפי נחיתה מזויפים שמדמים שיתוף קובץ ב-OneDrive, וממשיכה לדפי התחברות מזויפים שמתארחים אחרי אימות ב-Cloudflare Turnstile כדי לעקוף מערכות סינון אוטומטיות.
אתרי הפישינג עצמם כוללים מנגנונים כמו סינון גיאוגרפי, חסימת כתובות IP של חברות אבטחה, והקצאת סאב דומיין ייחודי לכל קורבן. כל זה הופך את הפיענוח והניתוח של הקמפיין למשימה הרבה יותר מסובכת.
Ontinue, שחשפה את ערכת Salty2FA, מסבירה כי מדובר בקיט שמדמה ממשקי התחברות לגיטימיים על בסיס הדומיין של הקורבן, כדי לשפר את ההנדסה החברתית ולהפוך את ההתחזות למדויקת ויעילה במיוחד. "מה שמטריד הוא שהתוקפים פועלים היום כמו ארגון עסקי לכל דבר עם תשתיות חכמות, תכנון קפדני, ותשומת לב לפרטים", נכתב בדוח.
