1月13日,网络安全和基础设施安全局(CISA)发布了一个警告关于各种组织云服务的几个成功的网际攻击。

攻击者使用什么方法?

在初始阶段,受害者是通过试图捕获云服务帐户的凭据的网络钓鱼电子邮件来定向。一旦攻击者窃取了一组有效的凭据,他们登录了受损帐户,并用它用于将网络钓鱼电子邮件发送到组织内的其他帐户。这些网络钓鱼电子邮件使用链接到似乎是组织文件托管服务上的现有文件。

在某些情况下,威胁行动者修改了受害者的电子邮件规则。在一个用户的帐户中,将设置现有规则以将邮件转发到其个人帐户。威胁演员更新了规则,将所有电子邮件转发给自己的帐户。在其他情况下,攻击者创建了将包含某些关键字的邮件转发给自己的帐户。

作为网络钓鱼尝试的替代品,攻击者也使用了蛮力攻击在一些帐户上。

在某些情况下,也许最引人注目的所有人多因素身份验证(MFA)登录被重新使用浏览器饼干击败。这些攻击被称为“传递 - cookie”攻击,并依赖于Web应用程序使用cookie验证登录用户的事实。

一旦用户传递了MFA过程,将创建一个cookie并存储在用户的浏览器中。浏览器使用cookie验证每个后续请求,以备用访问者在同一会话中遍历一遍又一遍地登录。如果攻击者可以从登录的用户捕获身份验证cookie,他们可以完全绕过登录过程,包括MFA检查。

谁落后于云服务的攻击?

尽管CISA所注意到的攻击在他们所用的策略中有一些重叠,但它们不太可能是由同一组完成的。虽然有些人的尝试很清楚商业电子邮件妥协(BEC)攻击,可能是其他目标之后的其他群体。

对策

教育用户的网络安全一般,并指出涉及的额外风险在家工作(WFH)。对于这些特定的攻击,额外培训认识到网络钓鱼当然不会伤害。

使用VPN访问组织的资源,例如其文件托管服务。将这些资源的诱惑公开访问远程员工是可以理解的,但危险的。

消毒电子邮件转发规则或至少让邮件的原始接收者在应用转发规则时会通知。如果有规则反对环境之外的转发邮件(也许应该有),它不应该太难阻止它们。

使用MFA访问所有敏感的资源。(重要的是要注意,虽然CISA报告提到了MFA被绕过的成功攻击,但也提到由MFA击败的不成功的攻击。)

确保授权使用它们的人员只能访问资源,并启用日志记录,以便您可以查看谁使用他们的访问权限。

将身份验证cookie的寿命设置为明智的时间。在不恼人的合法用户和“允许”攻击者使用陈旧的cookie来获得访问之间的平衡。

验证所有具有公共IP的基于云的虚拟机实例是否没有打开远程桌面协议(RDP)端口。将任何系统放在防火墙后面的开放式RDP端口,并要求用户使用VPN来通过防火墙访问它。

IOC.

CISA报告还链接到A.IOC的可下载副本对于那些有兴趣的人。