吳明宜安全廠商 Obsidian 發現一樁針對 SharePoint Online (Microsoft 365) 的勒索軟體攻擊,是利用微軟全域 (Global) SaaS 管理員帳號的新途徑,而非駭入端點的傳統方法完成。
Obsidian 是在為一家客戶進行事後分析時發現新的攻擊手法。一般 SharePont Online 感染案例,攻擊者加密用戶機器或對映磁碟(稱為端點),再同步到 SharePoint Online 執行個體。但這次攻擊不同;這家企業全域管理員先是帳號外流,又因為未啟用雙因素驗證而讓駭客從網際網路存取。一旦登入,攻擊者就在 AD (Active Directory) 建立名為 0mega 的新帳號且具備全域管理員、 SharePoint 、 Exchange 及 Teams 、網站集合 (site collection) 管理權限,網站集合管理員可以存取多個 SharePoint 站點及集合。攻擊者還在 2 小時內移除了 200 多個管理員。
這波攻擊只竊取了檔案,並未加密。駭客由 SharePoint 下載數百個檔案到 VPS 上的用戶端點 sppull 。之後又從駭客伺服器上傳了數千個 PREVENT-LEAKAGE.txt 檔案到 SharePoint,目的在警告受害者,他們並設立 Tor 網站,以便受害者和駭客聯繫、談判贖金。
雖然這次受害者一開始是因為未啟用雙因素驗證而被駭入,但是研究人員說,即使啟用了,攻擊者仍然可發動 MFA 疲勞攻擊突破。因此企業最好再提升到無密碼驗證,像是 WebAuthn 防止這類攻擊。
Obsidian 並未公佈受害企業,不過他們透露,攻擊者是名為 0mega 的組織。 0mega 是在 2022 年 7 月開始崛起,當時以雙重勒索 (double, extortion)-勒索軟體加資料竊取聞名,並有個外洩網站,宣稱有 2022 年 5 月竊自電子維修商的 152GB 資料。
如果受害企業拒絕支付贖金,我們可能會在這個網站看到它的名字。
Obsidian 相信這開闢了新趨勢。研究人員指出,攻擊者花了心力建立自動化,意在未來長期使用。他們也相信這會愈來愈多,因為大部份企業都只投資在端點安全,以及傳統網路及雲端威脅偵測,具備強大 SaaS 安全方案的企業少之又少。
研究人員建議強化 SaaS 控制、收縮過度權限,取消未經許可或高風險整合。此外也應加上 SaaS 稽核及活動紀錄以發現可疑的外部駭客、內鬼威脅或是不安全的第三方系統整合。
來源:SecurityWeek