【SaaS攻擊】SharePoint Online被植入勒索軟件 不經終端靠帳戶入手
網絡安全公司 Obsidian 發現首個公開記錄的自動化 SaaS 勒索軟件事件!有黑客組織入侵 Microsoft Global SaaS admin 的帳戶,對 SharePoint Online(Microsoft 365)進行勒索軟件攻擊,而毋需從用戶终端入手。換言之,即使不經電腦,黑客也可以植入勒索軟件。
Obsidian 相信,今次攻擊由一個名為 Omega 的黑客組織發起。採用雙重勒索(勒索軟件及盜取數據)的 Omega,最早於 2022 年 7 月出現,聲稱曾從一間電子維修公司偷取了 152 GB 數據。
SaaS 防護不及端點 或成攻擊新趨勢
Omega 先從 VDSinra.ru 提供的虛擬專用伺服器,以異常的 IP 連線存取受害帳號,被入侵的帳戶主要都是未啟用雙因素或多因素驗證(2FA/MFA)。他們創建了一個名為 Omega 的全新高權限 Active Directory(AD)用戶,包括全域管理員、SharePoint 管理員、Exchange 管理員及 Teams 管理員,更在2 小時內刪除了超過 200 名現有管理員帳戶。
偷取數百個文件後,黑客未有將文件加密,而是上傳了數千個 PREVENT-LEAKAGE.txt 文件,旨在提醒受害人有文件被盜,也成為雙方商討贖金的方式。
Obsidian 表示很多企業在端點安全方面做得很好,但 SaaS 安全計劃則可能有所不足,認為這種手法可能是趨勢的開端,在過去六個月,針對企業 SaaS 環境的攻擊亦多於前兩年的總和。他們建議企業要加強對 SaaS 的控制,限制管理員權限,AD 管理員也要留意異常地點的 IP 連線及登入。