(27 и 28 января 2022 г.)
Исследователи из Proofpoint обнаружили вредоносную гибридную облачную кампанию, нацеленную на руководителей высшего звена. Кампания включает захват учетных записей Office 365, вредоносные приложения OAuth и фишинговые атаки.
Примечание
Пентестеры и красные команды: если ваша методология атаки еще не включает злоупотребление токеном OAuth, сейчас самое время для обновления. Учетные данные и фишинг MFA по-прежнему хороши, но не забудьте также измерить риск облачной идентификации/доступа ваших клиентов.
Остерегайтесь неизвестных приложений, запрашивающих разрешения, в частности «Согласие от имени вашей организации». В этом случае злоумышленники манипулируют URL-адресом ответа таким образом, что нажатие кнопки «Отмена» просто перенаправляет обратно, сеансы должны быть закрыты, возможно, закрывая вызывающий клиент или браузер. Убедитесь, что ваш CASB, переписывание URL-адресов или другое решение для предотвращения атак включает правила для этой атаки.