Microsoft hat am Dienstag bekannt gegeben, dass eine groß angelegte Phishing-Kampagne seit September 2021 mehr als 10.000 Unternehmen angegriffen hat, indem sie den Authentifizierungsprozess von Office 365 selbst bei Konten mit Multi-Faktor-Authentifizierung (MFA) gekapert hat.
„Die Angreifer nutzten die gestohlenen Anmeldedaten und Sitzungscookies, um auf die Postfächer der betroffenen Nutzer/innen zuzugreifen und weitere BEC-Kampagnen (Business Email Compromise) gegen andere Ziele durchzuführen“, so die Cybersicherheitsteams des Unternehmens.
Die Angreifer richteten Phishing-Websites ein, bei denen der Angreifer einen Proxy-Server zwischen einem potenziellen Opfer und der Ziel-Website einrichtet, so dass die Empfänger einer Phishing-E-Mail auf ähnlich aussehende Zielseiten umgeleitet werden, um Anmeldedaten und MFA-Informationen zu erbeuten.
„Die Phishing-Seite hat zwei verschiedene Transport Layer Security (TLS)-Sitzungen – eine mit dem Ziel und eine weitere mit der eigentlichen Website, auf die das Ziel zugreifen möchte“, erklärt das Unternehmen.
„Diese Sitzungen bedeuten, dass die Phishing-Seite praktisch als AitM-Agent fungiert, der den gesamten Authentifizierungsprozess abfängt und wertvolle Daten aus den HTTP-Anfragen extrahiert, wie z. B. Passwörter und – noch wichtiger – Sitzungscookies.
Mit diesen Informationen ausgestattet, fügten die Angreifer die Cookies in ihre eigenen Browser ein, um den Authentifizierungsprozess zu umgehen, selbst in Szenarien, in denen das Opfer den MFA-Schutz aktiviert hatte.
Die von Microsoft entdeckte Phishing-Kampagne zielte darauf ab, Office 365-Nutzer/innen auszusondern, indem sie die Office-Online-Authentifizierungsseite fälschte und das Evilginx2-Phishing-Kit für die Durchführung der AitM-Angriffe verwendete.
Dazu wurden E-Mails mit Sprachnachrichten verschickt, die als besonders wichtig eingestuft waren und die Empfänger dazu brachten, mit Malware verseuchte HTML-Anhänge zu öffnen, die auf die Landing Pages zum Diebstahl von Anmeldedaten weiterleiteten.
Um den Trick zu vervollständigen, wurden die Nutzer/innen nach der Authentifizierung auf die legitime office[.]com-Website umgeleitet, aber nicht bevor die Angreifer/innen die oben erwähnte AitM-Methode nutzten, um die Sitzungscookies abzuschöpfen und die Kontrolle über das kompromittierte Konto zu erlangen.
Doch damit nicht genug: Die Angreifer missbrauchten ihren Mailbox-Zugang, um Zahlungsbetrug zu begehen, indem sie eine Technik namens E-Mail-Thread-Hijacking einsetzten, um die Gesprächspartner dazu zu bringen, Geldbeträge auf Konten unter ihrer Kontrolle zu überweisen.
Um ihre Kommunikation mit dem Betrugsziel weiter zu verschleiern, erstellten die Bedrohungsakteure außerdem Mailboxregeln, die jede eingehende E-Mail mit dem entsprechenden Domainnamen automatisch in den Ordner „Archiv“ verschoben und als „gelesen“ markierten.
„Es dauerte nur fünf Minuten nach dem Diebstahl der Anmeldedaten und der Sitzung, bis die Angreifer den nachfolgenden Zahlungsbetrug starteten“, so Microsoft.
Die Angreifer sollen Outlook Web Access (OWA) auf einem Chrome-Browser verwendet haben, um die betrügerischen Aktivitäten durchzuführen, während sie gleichzeitig die ursprüngliche Phishing-E-Mail sowie die Folgekommunikation mit der Zielperson sowohl aus dem Ordner „Archiv“ als auch aus dem Ordner „Gesendete Objekte“ im Posteingang des Kontos löschten, um Spuren zu verwischen.
„Diese AiTM-Phishing-Kampagne ist ein weiteres Beispiel dafür, wie sich die Bedrohungen als Reaktion auf die Sicherheitsmaßnahmen und -richtlinien, die Unternehmen zur Abwehr potenzieller Angriffe eingeführt haben, ständig weiterentwickeln“, so die Forscher.
„Während AiTM Phishing versucht, MFA zu umgehen, ist es wichtig zu betonen, dass die Implementierung von MFA weiterhin eine wichtige Säule der Identitätssicherheit ist. MFA ist nach wie vor sehr effektiv, um eine Vielzahl von Bedrohungen abzuwehren; ihre Effektivität ist der Grund, warum AiTM-Phishing überhaupt erst aufkam.“
Die Ergebnisse kommen zu einem Zeitpunkt, an dem eine Gruppe von Forschern der Stony Brook University und Palo Alto Networks Ende letzten Jahres eine neue Fingerabdrucktechnik vorstellte, mit der es möglich ist, AiTM-Phishing-Kits in freier Wildbahn mit einem Tool namens PHOCA zu identifizieren.