Pinewood Security Bulletin –  Sharp Increase in AitM Phishing Attacks on Microsoft Accounts

Beschrijving

Het Pinewood SOC heeft de laatste dagen een sterke toename waargenomen in phishing-aanvallen die zich richt op inloggegevens voor Microsoft 365. De aanvallen volgen hierbij steeds eenzelfde patroon:

1. Het slachtoffer ontvangt een e-mail van een (meestal Nederlandse) derde partij wiens account eerder is gecompromitteerd. Deze e-mail bevat veelal de naam van de organisatie en bevat een link die verwijst naar het pad /drive op een steeds wisselend domein (bijvoorbeeld hxxps[:]//<phishdomain>/drive).
2. Na het klikken op de link komt de gebruiker uit bij een CloudFlare CAPTCHA die uiteindelijk leidt naar een neppe OneDrive-pagina waarop zogenaamd een “Shared file” wordt aangeboden. Zie het screenshot Neppe Onedrive-pagina.png in de bijlagen.
3. Na het invullen van inloggegevens stuurt de aanvaller het slachtoffer door naar een Actor-in-the-Middle (AitM) phishing-website waarmee de gebruiker uitkomt op de echte Microsoft 365 inlogpagina van de organisatie. De verbinding verloopt echter via de server van de aanvaller, waardoor de sessietokens onderschept worden. Deze phishing-website draait in veel gevallen op een .icu domein met daarin de tekst “securedoc”, zoals bijvoorbeeld hxxps[:]//login[.]securedoc5553[.]icu/. Zie ook het screenshot Phishing-pagina.png in de bijlage.
4. Na het inloggen via de AitM-website heeft de aanvaller nu de beschikking over de inloggegevens van het slachtoffer, inclusief eventuele tokens die gebruikt worden voor MFA-authenticatie. De aanvaller kan zich hierna bij Microsoft authenticeren op het account van het slachtoffer, zelfs als dit account beveiligd is middels MFA.

Voorkomen van misbruik

Om de kans op een succesvolle aanval te verkleinen is het voor een strakke inrichting van o.a. Conditional Access van groot belang. Denk hierbij aan het volgende:

• Verklein de standaard “sign-in frequency” van 90 dagen naar een kortere periode.
• Vereis dat gebruikers zich alleen kunnen aanmelden vanuit managed en compliant devices.
• Maak gebruik van de “location”-conditie waarmee het mogelijk is om eisen op te leggen m.b.t. de locatie van waaruit de gebruiker inlogt.
• Maak gebruik van Entra ID Protection Risk policies

Daarnaast kan het voor deze specifieke campagne helpen om eindgebruikers op de hoogte te stellen van hoe ze een aanval kunnen herkennen. Maak hiervoor gebruik van de kenmerken zoals beschreven aan het begin van dit bulletin.

Zie voor meer details over hoe je misbruik kunt voorkomen ook onze eerdere bulletin “Account compromise activity“ (september 2023).

Detectie van mogelijk misbruik

Er bestaan diverse manieren waarop de beschreven aanval is te herkennen. Wees in ieder geval alert op waarschuwingen die Microsoft Defender uitgeeft. De campagne die we nu zien, leidt in veel gevallen tot alarmen zoals:

• “Risky sign-in after clicking a possible AiTM phishing URL”;
• “A potentially malicious URL click was detected”; en
• “Unfamiliar sign-in properties”.

Als u bent aangesloten op het Pinewood SOC wordt op deze meldingen uiteraard actief gemonitord. Daarnaast monitoren we ook op de indicators of compromise van deze phishing-aanvallen vanuit onze verschillende CTI-bronnen.

Het Pinewood SOC heeft verder aanvullende detectiemechanismen waarmee dit type phishing-aanvallen kunnen worden gedetecteerd in een vroeg stadium. Klanten van het Pinewood SOC raden we daarom aan om aan te sluiten op de AitM Monitor indien dit nog niet gebeurd is.

Mitigatieadvies voor Gecompromitteerde Accounts

Op het moment dat een account in handen van een aanvaller valt, is het allereerst van groot belang om dit zo snel mogelijk vast te stellen. De schade is het kleinst als de aanvaller al snel weer de toegang tot een account kwijtraakt. Na het vaststellen van misbruik van een account raden wij aan om standaard een aantal stappen uit te voeren:

• Schakel het account in eerste instantie uit (disable account) zodat de aanvaller geen gebruik meer kan maken van het account. Verklaar tevens direct alle refresh tokens die aan het account hangen ongeldig zodat de aanvaller ook daar geen gebruik meer van kan maken.
• Ga ervanuit dat de aanvaller volledige controle heeft over de authenticatie-informatie van de gebruiker. Reset daarom het wachtwoord én controleer de verificatiemethoden (MFA) van de gebruiker. Verwijder alle verificatiemethoden waarover twijfel bestaat.
• Het is bekend dat aanvallers na een succesvolle inbraak op een account ook regelmatig mail forwarding rules aanmaken zodat zij toegang blijven houden tot de e-mails van een gebruiker, zelfs als zij de controle over het account zelf zijn kwijtgeraakt. Controleer daarom altijd alle mailbox rules en mailbox forwarding rules die op het account zijn geconfigureerd.
• In sommige gevallen slaagt een aanvaller er zelfs in om een eigen apparaat (device) te registreren op naam van de gebruiker welke vervolgens vertrouwd wordt. Controleer daarom ook of de lijst aan “enrolled devices” valide is.
• Controleer tot slot alle activiteiten die vanuit het account zijn uitgevoerd vanaf het moment dat dit account in handen van de aanvaller viel. Maak hiervoor gebruik van de uitgebreide audit-functionaliteiten die Microsoft biedt.

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center. Het SOC is bereikbaar via +31 (0)15 750 13 31 en via soc@pinewood.nl.

===== ENGLISH =====

Description

The Pinewood SOC has observed a significant increase in phishing activity targeting Microsoft 365 credentials in recent days. The attacks follow a consistent pattern:

1. The victim receives an email from a (usually Dutch) third party whose account has previously been compromised. This email usually contains the name of the organization and includes a link pointing to the path /drive on an ever-changing domain (e.g., hxxps[:]//<phishdomain>/drive).
2. After clicking on the link, the user ends up with a CloudFlare CAPTCHA that eventually leads to a fake OneDrive page supposedly offering a “Shared file.” See the screenshot Neppe Onedrive-pagina.png in the attachments.
3. After entering login credentials, the attacker redirects the victim to an Actor-in-the-Middle (AitM) phishing website that takes the user to the organization’s real Microsoft 365 login page. However, the connection goes through the attacker’s server, intercepting the session tokens. In many cases, this phishing website runs on an .icu domain containing the text “securedoc,” such as hxxps[:]//login[.]securedoc5553[.]icu/. See also the screenshot Phishing-pagina.png attached.
4. After logging in via the AitM website, the attacker now has access to the victim’s login credentials, including any tokens used for MFA authentication. The attacker can then authenticate to Microsoft on the victim’s account, even if this account is secured using MFA.

Preventing Abuse

To reduce the likelihood of a successful attack, it is crucial to have a well-configured Conditional Access setup. Consider the following:

• Reduce the default “sign-in frequency” from 90 days to a shorter period.
• Require users to sign in only from managed and compliant devices.
• Use the “location” condition to impose requirements regarding the location from which the user logs in.
• Utilize Entra ID Protection Risk policies.

Additionally, for this specific campaign, it may help to inform end-users on how to recognize an attack. Use the characteristics described at the beginning of this bulletin.

For more details on how to prevent abuse, refer to our previous bulletin “Account compromise activity” (September 2023).

Detecting Possible Abuse

There are several ways in which the described attack can be recognized. In any case, be alert to alerts issued by Microsoft Defender. The campaign we’re observing often leads to alerts such as:

• “Risky sign-in after clicking a possible AiTM phishing URL”;
• “A potentially malicious URL click was detected”; and
• “Unfamiliar sign-in properties.”

Of course, if you are a SOC customer, these notifications are actively monitored. In addition, we also monitor for indicators of compromise of these phishing attacks based on our various CTI sources.

The Pinewood SOC has additional controls to detect AitM phishing attacks at an early stage. We therefore recommend that Pinewood SOC customers connect to the AitM Monitor if they have not done so already.

Advice for Mitigation of Account Compromise

If an account falls into the hands of an attacker, it is crucial to identify this as quickly as possible. The damage is minimized if the attacker loses access to the account soon after. Upon detecting account abuse, we recommend performing the following standard steps:

• Initially disable the account so the attacker can no longer use it. Also, immediately invalidate all refresh tokens associated with the account to prevent the attacker from using them.
• Assume the attacker has full control over the user’s authentication information. Therefore, reset the user’s password and check the configured verification methods (MFA). Remove any MFA methods that look suspicious.
• It is known that attackers often create mail forwarding rules after successfully compromising an account to maintain access to the user’s emails, even if they lose control of the account itself. Always check all mailbox rules and mailbox forwarding rules configured on the account.
• In some cases, an attacker may even register their own device in the user’s name, which is then trusted. Always check if the list of “enrolled devices” is valid.
• Finally, review all activities performed from the account since it fell into the attacker’s hands. Use the extensive audit functionalities provided by Microsoft for this purpose.

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center. The SOC can be contacted at +31 (0)15 750 13 31 and via soc@pinewood.nl.