Кампания KnockKnock атакует корпоративные email-аккаунты Office 365

Кампания KnockKnock атакует корпоративные email-аккаунты Office 365

Кампания KnockKnock атакует корпоративные email-аккаунты Office 365

Исследователи рассказали об атаке на почтовые учетные записи Office 365 Exchange Online, получившей имя KnockKnock. Целью злоумышленников являются организации в области производства, финансовых услуг, здравоохранения, потребительских товаров и государственный сектор США. В основном пострадали корпоративные email-аккаунты, которым не хватало настроенных политик безопасности.

Вредоносная кампания, о которой идет речь, основана на уникальной стратегии атаки на административные учетные записи, обычно используемые для интеграции корпоративных почтовых систем с программным обеспечением для автоматизации сбыта и продаж. Уникальность таких учетных записей в том, что они не привязаны к конкретному человеку, и требуют автоматического использования, как следствие, отличаются отсутствием защиты политиками безопасности, такими, например, как многофакторная аутентификация (MFA).

После получения доступа к корпоративной учетной записи Office 365 KnockKnock извлекает любые данные, находящиеся в папке «Входящие», создает новое правило и инициирует фишинг-атаку с целью распространения заражения в рамках одного предприятия.

Основная часть активности кампании KnockKnock пришлась на летние месяцы, примечательно, что вместо большого охвата множества целей киберпреступники сфокусировались на таргетированных, точечных атаках. Каждая атака пыталась получить контроль лишь над пятью адресами электронной почты.

Экспертам из Skyhigh удалось обнаружить эта атаки благодаря поведенческим алгоритмам, проанализированным их системами машинного обучения. В этом анализе была отражена следующая схема атак:

  • Хакеры использовали 63 сети и 83 IP-адреса для проведения своих атак.
  • Примерно 90 процентов попыток входа в систему поступали из Китая. Остальные были зафиксированы из России, Бразилии, США, Аргентины и еще 11 стран.
  • Атаковали отделы, связанные с инфраструктурой и IoT на крупных предприятиях, в таких отраслях, как производство, финансовые услуги, здравоохранение, потребительские товары, а также государственный сектор США.
  • Почти все пострадавшие учетные записи не принадлежали конкретному лицу, а были автоматизированы.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Московские школы начали требовать от учеников и родителей установки MAX

В некоторых московских школах от учеников и их родителей стали требовать обязательной установки мессенджера MAX, который должен прийти на смену платформе «Сферум», ранее использовавшейся для информационного сопровождения учебного процесса. При этом Москва не включена в список регионов, где официально проводится пилотный запуск MAX в образовательных учреждениях.

Как сообщает издание «Москвич Mag», требования об установке мессенджера стали появляться в родительских чатах и на форумах. В сообщениях от имени администрации школ говорится, что установка MAX является обязательной до 1 августа.

Такая инициатива вызвала недовольство части родителей. При этом официальных разъяснений от Министерства просвещения и Минцифры по поводу законности подобных требований пока не поступало. Автор публикации также отмечает, что остаётся неясным, имеют ли такие предписания юридическую силу.

«Главная проблема — не санкции, а возможное выпадение из информационного потока. Если отказ от MAX принципиален, стоит заранее договориться со школой о компромиссном варианте», — такой комментарий дал «Коммерсанту Волга-Урал» партнёр юридической компании «Яхатин» Антон Смирнов.

Тем временем Москва не входит в перечень субъектов, участвующих в пилотной фазе внедрения MAX. Как уточнило Министерство просвещения, пилотный проект охватывает Владимирскую и Тверскую области, Ханты-Мансийский автономный округ, а также республики Алтай, Марий Эл и Татарстан. Предусмотрена интеграция функций MAX и платформы «Сферум».

«Насчёт MAX снова приходят сообщения от учителей: якобы от чиновников управления образования поступают распоряжения директорам обеспечить 100-процентную регистрацию в этом мессенджере. Люди не горят желанием, снова вся ответственность ложится на учителей, классных руководителей — а весь негатив родителей снова пойдёт на них. Это, конечно, безобразие. Учителя становятся проводниками этих решений, и уровень недоверия между родителями и педагогами только растёт», — прокомментировал ситуацию радиостанции Business FM учитель истории и обществознания, председатель профсоюза «Учитель» Дмитрий Казаков.

По оценке Дмитрия Казакова, как и в случае с навязыванием платформы «Сферум», которую многие родители критиковали за неудобство и сложность регистрации, активное продвижение мессенджера MAX может привести к росту конфликтов между родителями, администрацией и педагогами.

При этом вокруг MAX уже возник ряд вопросов. В частности, эксперты указывают на передачу данных за рубеж, использование компонентов из недружественных стран, злоупотребления в мошеннических схемах и фишинговые атаки. Также серьёзные опасения вызывает политика конфиденциальности мессенджера.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru