Хакеры взламывают корпоративные учетные записи в облачных сервисах

Агентство кибербезопасности и безопасности инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) сообщило о серии успешных кибератак на ряд облачных сервисов.

Согласно уведомлению CISA, злоумышленники осуществили фишинговые атаки и воспользовались тем, что сотрудники многих организаций не придерживаются правил цифровой гигиены. Помимо фишинга киберпреступники также использовали брутфорс и атаки pass-the-cookie - постэксплуатационную технику для перехвата сеанса. С некоторыми учетными записями первые попытки хакеров угадать пароли путем перебора не увенчались успехом. Однако в некоторых случаях злоумышленникам даже удалось обойти двухфакторную аутентификацию и взломать учетные записи в облачных сервисах.

Как минимум в одном случае атакующие модифицировали или настроили правила переадресации электронных писем на подконтрольные им аккаунты. Они также изменили существующие правила поиска электронных писем (тему и тело), установив ключевые слова, позволяющие выявлять сообщения с конфиденциальной информацией (например, с платежными данными).

"Помимо изменения существующих правил электронной почты для пользователей, злоумышленники также создали новые правила для почтовых ящиков, которые переадресовывали некоторые полученные пользователями сообщения (в частности, сообщения с определенными ключевыми словами) в Really Simple Syndication (RSS) или папку RSS-подписки легитимных пользователей, для того чтобы легитимные пользователи не видели предупреждений", - сообщает CISA.