Microsoft сообщает о многоэтапных фишинговых атаках AitM и BEC, нацеленных на энергетические компании

Исследователи угроз Microsoft обнаружили сложную многоэтапную кампанию атак, нацеленную на энергетические организации по всему миру. Это не обычный фишинг — речь идет о методах «Злоумышленник в середине» (AitM) в сочетании с тактиками компрометации деловой электронной почты (BEC), которые являются поистине хирургическими.

Цепочка атаки начинается с классического социального инжиниринга, но быстро перерастает в злоупотребление SharePoint, манипуляцию правилами входящих сообщений и кражу сессионных куки. Как только они проникают внутрь, они перемещаются по сети, как будто владеют ею.

Что делает эту кампанию особенно опасной, так это то, как она злоупотребляет законными службами Microsoft. Злоумышленники используют SharePoint для размещения вредоносных документов и создания бэкдоров, а затем настраивают правила входящих сообщений для автоматического удаления или перенаправления предупреждений безопасности. Это похоже на то, что они используют ваши собственные инструменты против вас.

Фокус на энергетический сектор является стратегическим — у этих организаций часто сложные цепочки поставок и высокоценные транзакции, что делает их главными целями для финансового мошенничества. Microsoft отслеживает несколько субъектов угроз, стоящих за этим, с некоторыми связями с известными группами BEC, которые активны уже много лет.

Ключевые выводы для команд безопасности: 1) Мониторьте активность SharePoint как ястреб, 2) Регулярно проверяйте правила входящих сообщений (особенно новые), 3) Внедряйте средства управления сессиями и 4) Предполагайте компрометацию — эти злоумышленники терпеливы и настойчивы.

Microsoft делится индикаторами компрометации и правилами обнаружения через свои порталы безопасности. Если вы работаете в энергетике или критической инфраструктуре, это ваш сигнал к проверке защитных мер. Это не скрипткиди — это профессионалы с планом действий, и они идут за вашими коронными активами.