A campaña de phishing Use los Servicios de Federación de Federación de Microsoft Active Directory (ADFS) para eludir la autenticación multifactorial (MFA) y tomar el control de las cuentas de los usuarios, lo que permite a los interesados de las amenazas comprometer otras actividades maliciosas a través de redes que dependen del servicio para el servicio Autenticación de conexión única (SSO).
Investigadores de seguridad anormales Descubrió el campoque se dirige a aproximadamente 150 organizaciones – principalmente en el sector educativo – que se basan en ADF para autenticarse en varios sistemas en el sitio y basados en la nube.
La campaña utiliza correos electrónicos usurpados que ejecutan personas a las páginas de conexión ADFS de Microsoft, que están personalizadas para la configuración especial de MFA utilizada por el objetivo. Una vez que una víctima ingresa a la información de identificación y un código MFA, los atacantes toman las cuentas y pueden rotar otros servicios a través de la función SSO. Parecen llevar a cabo una variedad de actividades posteriores a la compromiso, incluida el reconocimiento, la creación de reglas de filtro de correo para interceptar comunicaciones y phishing lateral que se dirige a otros usuarios de la organización.
Dirigirse a la capacidad SSO heredada en ADF, una función “práctica para usuarios comerciales”, puede recopilar grandes dividendos, observa a Jim Routh, director de confianza de la compañía de seguridad Saviynt. La funcionalidad se diseñó originalmente para su uso detrás de un firewall, pero ahora está más expuesto porque se ha aplicado cada vez más en los servicios basados en la nube, incluso si nunca se ha diseñado para eso, señala.
Los atacantes de campaña usurpan las páginas de conexión de Microsoft ADFF para recopilar información de identificación del usuario y moverse por MFA de una manera que un profesional de seguridad de larga data dijo que no había visto antes.
“Esta es la primera vez que he leído en las páginas de conexión ADF falsas”, observa Roger Grimes, un evangelista de defensa en la compañía de seguridad de KnowBe4.
DestRes de la oficina para el vuelo de identificación
Los objetivos de campaña reciben correos electrónicos diseñados para aparecer como notificaciones de la TI de la organización servicio de asistencia – Un truco de phishing ampliamente utilizado, con un mensaje que informa al destinatario de una actualización urgente o importante que requiere su atención inmediata. El mensaje les pide que usen el enlace proporcionado para iniciar la acción solicitada, como la aceptación de una política revisada o la actualización de un sistema.
Sin embargo, los correos electrónicos incluyen diversas características que los hacen parecer convincentes, incluidas las direcciones de mis parientes del plato que parecen provenir de entidades de confianza, páginas de conexión fraudulenta que imitan la marca legítima y los lazos maliciosos que imitan la estructura de los enlaces de ADF legítimos, según Para los investigadores, los investigadores notaron que los investigadores notaron investigadores legítimos, los investigadores notaron a los investigadores.
“En esta campaña, los atacantes usan el entorno de confianza y el diseño familiar de las páginas de conexión ADFS para alentar a los usuarios a enviar su información de identificación y sus detalles de autenticación del segundo factor”, según el informe.
Usuarios heredados de Target
Aunque la campaña se dirige a varias industrias, las organizaciones que aportan el peso de los ataques, más del 50%, son escuelas, universidades y otros establecimientos educativos, dijeron los investigadores. “Esto destaca la preferencia de los atacantes para los entornos con altos volúmenes de usuarios, sistemas heredados, menos personal de seguridad y, a menudo, menos defensas de ciberseguridad madura”, según el informe.
Otros sectores dirigidos en la campaña que también reflejan esta preferencia incluyen, en orden de frecuencia de ataque: atención médica, gobierno, tecnología, transporte, automóvil y fabricación.
De hecho, mientras que Microsoft y la seguridad anormal recomiendan que las organizaciones vayan a su plataforma de identidad moderna, EmprendedorPara la autenticación, muchas organizaciones con servicios de TI menos sofisticados aún dependen de los ADF y, por lo tanto, seguir siendo vulnerableLos investigadores notaron.
“Esta dependencia está particularmente extendida en los sectores con ciclos de adopción de tecnología más lentos o dependencias de la infraestructura hereditaria, lo que los convierte en objetivos principales para la recolección de identificación y la toma de control”, según el informe.
Sin embargo, incluso si una organización todavía usa ADF, siempre puede tomar medidas para protegerse, dice Grimes. Recomienda que todos los usuarios usen “Phishing resistente a MFA“Siempre que puedan, por ejemplo.
Las otras atenuaciones recomendadas por los investigadores incluyen la educación del usuario sobre las técnicas de phishing de los atacantes modernos y las tácticas psicológicas, así como el uso de filtrado de correo electrónico avanzado, la detección de anomalías y el comportamiento de las tecnologías de vigilancia para identificar y mitigar los ataques de phishing y detectar las cuentas de compromiso temprano.