Nadużycie Microsoft Azure Monitor w kampaniach callback phishing

securitybeztabu.pl 1 dzień temu

Wprowadzenie do problemu / definicja

Callback phishing to odmiana phishingu, w której przestępcy nie próbują nakłonić ofiary do kliknięcia linku, ale do wykonania połączenia telefonicznego pod wskazany numer. W opisywanym wariancie ataku cyberprzestępcy wykorzystują legalny mechanizm powiadomień Microsoft Azure Monitor, aby rozsyłać wiadomości przypominające oficjalne alerty bezpieczeństwa lub rozliczeń.

To szczególnie niebezpieczny scenariusz, ponieważ wiadomości są dostarczane z prawidłowej infrastruktury Microsoft. W efekcie mogą wyglądać wiarygodnie zarówno dla użytkowników końcowych, jak i dla części systemów zabezpieczających pocztę.

W skrócie

Atakujący konfigurują alerty w Azure Monitor z fałszywą treścią o rzekomych opłatach, fakturach lub incydentach bezpieczeństwa.
Wiadomości są wysyłane z legalnej infrastruktury Microsoft, co zwiększa ich wiarygodność.
Powiadomienia mogą przechodzić kontrole SPF, DKIM i DMARC.
Celem kampanii jest skłonienie ofiary do kontaktu telefonicznego z oszustami.
Efektem może być kradzież danych, wyłudzenie płatności lub instalacja narzędzi zdalnego dostępu.

Kontekst / historia

Usługi chmurowe i platformy SaaS coraz częściej stają się elementem łańcucha ataku nie dlatego, iż zostały przełamane, ale dlatego, iż ich legalne funkcje można wykorzystać w sposób ofensywny. Azure Monitor to usługa przeznaczona do monitorowania zasobów, aplikacji i zdarzeń w środowiskach chmurowych oraz do generowania alertów na podstawie określonych warunków.

W tej kampanii przestępcy nie podszywają się bezpośrednio pod domenę Microsoft. Zamiast tego używają legalnego mechanizmu alertów, aby osadzić w wiadomości socjotechniczny komunikat o podejrzanej płatności, nieautoryzowanej transakcji lub problemie z kontem. To wpisuje się w rosnący trend nadużywania renomowanych usług do dostarczania phishingu z poprawnie uwierzytelnionych kanałów.

Analiza techniczna

Mechanizm ataku jest prosty, ale skuteczny. Napastnicy tworzą w Azure Monitor reguły alertów dla zdarzeń, które można przedstawić jako komunikaty biznesowe lub bezpieczeństwa. Kluczowym elementem jest treść opisu alertu, w której można umieścić dowolny komunikat, w tym fałszywe ostrzeżenie o nieautoryzowanej opłacie oraz numer telefonu do rzekomego działu wsparcia.

Po wyzwoleniu reguły wiadomość zostaje wysłana przez legalną infrastrukturę Microsoft jako standardowe powiadomienie systemowe. Dzięki temu nagłówki wiadomości i mechanizmy uwierzytelniania wskazują na autentyczne źródło wysyłki. Z perspektywy odbiorcy e-mail wygląda więc jak prawidłowo doręczony i zgodny z politykami nadawcy.

Dodatkowo atakujący mogą wykorzystywać listy dystrybucyjne lub mechanizmy dalszego przekazywania wiadomości, co zwiększa zasięg kampanii i utrudnia analizę. Taka wiadomość nie musi zawierać złośliwego załącznika ani linku, dlatego klasyczne silniki antyphishingowe skupione na URL-ach i plikach mogą okazać się mniej skuteczne.

Właściwy etap oszustwa następuje dopiero po wykonaniu telefonu. Osoba podszywająca się pod wsparcie techniczne może nakłaniać ofiarę do podania loginu, hasła, danych karty płatniczej, kodów MFA albo do zainstalowania systemu do zdalnego dostępu. Sam e-mail pełni więc rolę wiarygodnego punktu wejścia do dalszej manipulacji.

Konsekwencje / ryzyko

Największe zagrożenie wynika z wysokiej wiarygodności wiadomości. W wielu organizacjach użytkownicy są szkoleni, aby sprawdzać domenę nadawcy i status uwierzytelnienia poczty. W tym przypadku te wskaźniki mogą nie wystarczyć, ponieważ komunikat faktycznie pochodzi z legalnego systemu.

Dla użytkowników indywidualnych skutki mogą obejmować utratę danych konta, przejęcie dostępu do usług Microsoft, wyłudzenie środków lub kompromitację urządzenia. W środowisku firmowym ryzyko jest większe, ponieważ taki atak może prowadzić do uzyskania dostępu początkowego, przejęcia tożsamości pracownika, dalszych oszustw BEC, kradzieży danych lub wdrożenia ransomware.

Problem dotyczy także zespołów SOC i administratorów poczty. Wiadomości z zaufanej infrastruktury mogą omijać część reguł filtrujących, a analiza incydentu wymaga większego nacisku na ocenę treści, kontekstu biznesowego i nietypowych wezwań do działania, a nie wyłącznie na reputację nadawcy.

Rekomendacje

Organizacje powinny traktować alerty dotyczące płatności, faktur i bezpieczeństwa, które zawierają numer telefonu lub żądanie pilnego kontaktu, jako potencjalnie podejrzane. Szczególną uwagę należy zwracać na presję czasu, nietypowe opłaty oraz wezwania do działania poza standardowym portalem klienta.

Aktualizować szkolenia użytkowników, podkreślając, iż poprawna domena nadawcy i zaliczone kontrole SPF, DKIM oraz DMARC nie gwarantują bezpieczeństwa wiadomości.
Rozbudować reguły detekcyjne w bramach pocztowych oraz systemach SIEM i SOAR o wzorce charakterystyczne dla callback phishingu.
Wdrożyć procedurę niezależnej weryfikacji incydentów rozliczeniowych i bezpieczeństwa przez oficjalny portal lub wcześniej znany kanał kontaktu.
Stosować MFA odporne na phishing, zasadę najmniejszych uprawnień, segmentację dostępu administracyjnego oraz monitoring instalacji narzędzi zdalnego wsparcia.
Monitorować w środowiskach Azure tworzenie alertów, reguł akcji i powiadomień oraz kontrolować uprawnienia kont mogących konfigurować mechanizmy wysyłkowe.

Podsumowanie

Kampania wykorzystująca Azure Monitor pokazuje, iż współczesny phishing coraz częściej opiera się na nadużywaniu legalnych platform zamiast klasycznego spoofingu domen i złośliwych linków. Dla organizacji oznacza to konieczność łączenia edukacji użytkowników, analizy semantycznej wiadomości, monitorowania usług chmurowych i ścisłych procedur weryfikacji zgłoszeń dotyczących płatności oraz bezpieczeństwa.

Najważniejsza praktyczna zasada pozostaje niezmienna: każda wiadomość wymuszająca pilny kontakt telefoniczny w sprawie konta, płatności lub bezpieczeństwa powinna zostać zweryfikowana niezależnym kanałem, zanim użytkownik podejmie jakiekolwiek działanie.