1. Botnet FreakOut zagra\u017ca nieza\u0142atanym urz\u0105dzeniom Linux \u2013 atakuj\u0105cy bazuj\u0105 na \u015bwie\u017cych podatno\u015bciach<\/strong><\/h2>\n\n\nSpecjali\u015bci z CheckPoint przestrzegaj\u0105 przed nowym wariantem malware, kt\u00f3ry obra\u0142 sobie za cel nieza\u0142atane urz\u0105dzenia z system Linux. Cel jest raczej oczywisty – przej\u0119cie jak najwi\u0119kszej liczby urz\u0105dze\u0144 i zwi\u0119kszenie si\u0142y botnetu FreakOut.<\/p>\n\n\n\n
Operator FreakOut skanuje na szerok\u0105 skal\u0119 internet w poszukiwaniu aplikacji podatnych na ataki, a nast\u0119pnie wykorzystuje exploity <\/a>dla tych luk w celu przej\u0119cia kontroli nad systemem Linux. O jakie rozwi\u0105zania dok\u0142adnie chodzi? Jednostki przechowywania danych TerraMaster (TerraMaster data storage), aplikacje internetowe zbudowane w oparciu o Framework Zend PHP oraz strony internetowe obs\u0142uguj\u0105ce system zarz\u0105dzania tre\u015bci\u0105 Liferay Portal. Wszystkie trzy luki zosta\u0142y wykryte stosunkowo niedawno. Istnieje wi\u0119c du\u017ce prawdopodobie\u0144stwo, \u017ce wiele system\u00f3w nadal nie zosta\u0142o zalatanych. Zapewne na to w\u0142a\u015bnie licz\u0105 przest\u0119pcy.<\/p>\n\n\n\nCVE-2020-28188 – RCE w panelu zarz\u0105dzania TerraMaster (ujawniony 4 grudnia 2020)
CVE-2021-3007 – b\u0142\u0105d deserializacji we Framework Zend (ujawniony 3 stycznia 2021)
CVE-2020-7961 – b\u0142\u0105d deserializacji w Liferay Portal (ujawniony 20 maja 2020)<\/p>\n\n\n\n
![\"atak](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2023\/10\/freakout-attacks.png\")
<\/a>Obrazek: Check Point<\/figcaption><\/figure><\/div>\n\n\nFreakOut – przest\u0119pcy maj\u0105 pole do popisu…<\/h5>\n\n\n
W momencie, gdy bot FreakOut uzyska dost\u0119p do systemu, jego nast\u0119pnym krokiem jest pobranie i uruchomienie skryptu Python, kt\u00f3ry \u0142\u0105czy zainfekowane urz\u0105dzenia ze zdalnym kana\u0142em IRC. Z pomoc\u0105 IRC atakuj\u0105cy przekazuj\u0105 polecenia i \u201eorganizuj\u0105\u201d list\u0119 atak\u00f3w przy u\u017cyciu przej\u0119tych urz\u0105dze\u0144. Co jeszcze s\u0105 w stanie zrobi\u0107 atakuj\u0105cy? Jak si\u0119 okazuje, ca\u0142kiem sporo:<\/p>\n\n\n\n
- zbiera\u0107 informacji o zainfekowanym systemie;<\/li>
- tworzy\u0107 i wysy\u0142a\u0107 pakiety UDP i TCP;<\/li>
- przeprowadza\u0107 ataki brute-force Telnet przy u\u017cyciu listy zakodowanych na sta\u0142e po\u015bwiadcze\u0144;<\/li>
- uruchamia\u0107 skanowanie port\u00f3w;<\/li>
- przeprowadza\u0107 ataki ARP poisoning w ramach lokalnej sieci urz\u0105dzenia;<\/li>
- otworzy\u0107 odwr\u00f3con\u0105 pow\u0142ok\u0119 na zainfekowanym ho\u015bcie;<\/li>
- zatrzyma\u0107 lokalne procesy\u2026 i wi\u0119cej.<\/li><\/ul>\n\n\n\n
Zdaniem Check Point wszystkie te funkcje mo\u017cna ze sob\u0105 dowolnie \u0142\u0105czy\u0107 w celu wykonywania r\u00f3\u017cnych z\u0142o\u017conych operacji, takich jak przeprowadzanie atak\u00f3w DDoS, instalowanie kopaczy kryptowaluty, przekszta\u0142canie zainfekowanych bot\u00f3w w sie\u0107 proxy lub przeprowadzanie atak\u00f3w na wewn\u0119trzn\u0105 sie\u0107 zainfekowanego urz\u0105dzenia.<\/p>\n\n\n\n
Liczby<\/strong><\/p>\n\n\n\nNajnowsze statystyki IRC sugeruj\u0105, \u017ce botnet kontroluje tylko oko\u0142o 180 zainfekowanych system\u00f3w. To ma\u0142o jak na tego typu zagro\u017cenie, ale jest to ju\u017c wystarczaj\u0105ca ilo\u015b\u0107 do przeprowadzenia bardzo skutecznych atak\u00f3w DDoS, zatruwania ARP, ukryte kopanie kryptowalut, przeprowadzanie atak\u00f3w brute-force lub czego\u015b jeszcze gorszego.<\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n2. B\u0142\u0119dy DNSpooq pozwalaj\u0105 napastnikom przej\u0105\u0107 DNS na milionach urz\u0105dze\u0144<\/strong><\/h2>\n\n\nDNSpooq to zbiorcza nazwa siedmiu luk w zabezpieczeniach Dnsmasq. Mo\u017cna wykorzysta\u0107 je do zatruwania DNS, zdalnego wykonania kodu oraz atak\u00f3w typu odmowa dost\u0119pu (DoS) na milionach urz\u0105dze\u0144, kt\u00f3rych dotyczy problem. Zosta\u0142 on odkryty przez izraelsk\u0105 firm\u0119 konsultingow\u0105 ds. bezpiecze\u0144stwa – JSOF. <\/p>\n\n\n\n
Dnsmasq to popularny i prosty serwer DHCP\/DNS. Dodaje on DNS catching i funkcje serwera DHCP (Dynamic Host Configuration Protocol) do Internet-of-Things (IoT) i innych wbudowanych urz\u0105dze\u0144.<\/p>\n\n\n\n
Nie jest jeszcze znana pe\u0142na liczba firm, kt\u00f3re u\u017cywaj\u0105 podatnych wersji, ale lista klient\u00f3w obejmuje Android\/Google, Comcast, Cisco, Redhat, Netgear, Qualcomm, Linksys, Netgear, IBM, D-Link, Dell, Huawei i Ubiquiti. <\/p>\n\n\n\n
Trzy z luk DNSpooq (\u015bledzone jako CVE-2020-25686, CVE-2020-25684, CVE-2020-25685) pozwalaj\u0105 na ataki zatruwania DNS, czyli DNS NS spoofing lub DNS cache poisoning. Jest to metoda ataku, kt\u00f3ra umo\u017cliwia cyberprzest\u0119pcom zast\u0119powanie prawdziwych rekord\u00f3w DNS na urz\u0105dzeniu, innymi, wybranymi przez siebie. Korzystaj\u0105c z tej metody, atakuj\u0105cy mog\u0105 przekierowywa\u0107 u\u017cytkownik\u00f3w na znajduj\u0105ce si\u0119 pod ich kontrol\u0105 z\u0142o\u015bliwe serwery. Jednocze\u015bnie odwiedzaj\u0105cym wydaje si\u0119, \u017ce odwiedzaj\u0105 legaln\u0105, autentyczn\u0105 witryn\u0119. <\/p>\n\n\n\n
![\"\"](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2023\/10\/dns-spoofing.png\")
<\/a>Obraze: JSOF<\/figcaption><\/figure><\/div>\n\n\n\nPozosta\u0142e luki w zabezpieczeniach (CVE-2020-25687, CVE-2020-25683, CVE-2020-25682 i CVE-2020-25681) to klasyczne b\u0142\u0119dy zwi\u0105zane z przepe\u0142nieniem bufora. Mog\u0105 umo\u017cliwi\u0107 atakuj\u0105cym zdalne wykonanie dowolnego kodu na podatnym na ataki sprz\u0119cie sieciowym, w momencie gdy Dnsmasq jest skonfigurowany tak, aby u\u017cywa\u0107 DNSSEC.<\/p>\n\n\n\n
Ataki z wykorzystaniem DNSpooq s\u0105 do\u015b\u0107 \u0142atwe do przeprowadzenia i nie wymagaj\u0105 \u017cadnych nietypowych technik ani narz\u0119dzi. Taki atak mo\u017ce zako\u0144czy\u0107 si\u0119 sukcesem w kilka sekund lub minut…<\/p>\n\n\n\n
Co gorsze, wed\u0142ug Shodan, obecnie w sieci znajduje si\u0119 ponad 1 mln podatnych serwer\u00f3w Dnsmasq (BinaryEdge podaje liczb\u0119 630 tys.). Do tego dochodz\u0105 miliony router\u00f3w, VPN\u2019\u00f3w, smartfon\u00f3w, tablet\u00f3w, system\u00f3w informacyjno-rozrywkowych, modem\u00f3w, punkt\u00f3w dost\u0119pu, dron\u00f3w i podobnego sprz\u0119tu, kt\u00f3re cho\u0107 niedost\u0119pne w Internecie, s\u0105 podatne na atak. <\/p>\n\n\n\n
Jak si\u0119 chroni\u0107? Aby w pe\u0142ni z\u0142agodzi\u0107 ataki pr\u00f3buj\u0105ce wykorzysta\u0107 luki DNSpooq, JSOF zaleca aktualizacj\u0119 oprogramowania Dnsmasq do najnowszej wersji (2.83 lub nowszej).<\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n3. Hakerzy przypadkowo ujawnili w sieci skradzione wcze\u015bniej dane uwierzytelniaj\u0105ce Microsoft 365<\/strong><\/h2>\n\n\nHakerzy – stoj\u0105cy za gigantyczn\u0105 kampani\u0105 phishingow\u0105 – zapomnieli w\u0142a\u015bciwie zabezpieczy\u0107 swoje \u0142upy, w efekcie da\u0142o si\u0119 je zwyczajnie \u201ewygooglowa\u0107\u201d.<\/p>\n\n\n\n
Wspomniana kampania phishingowa trwa ju\u017c ponad p\u00f3\u0142 roku i wykorzystuje dziesi\u0105tki domen, na kt\u00f3rych postawiono strony phishingowe. Operatorzy wykonuj\u0105 regularne aktualizacje. Poprawiaj\u0105 design okna logowania, tak by prezentowa\u0142o si\u0119 ono jak najbardziej realistycznie.<\/p>\n\n\n\n
Atakuj\u0105cy eksfiltrowali wykradzione dane na domeny, kt\u00f3re zarejestrowali na potrzeby swojej cyber-operacji. Pope\u0142nili jednak ra\u017c\u0105cy b\u0142\u0105d. Dane umie\u015bcili w publicznie widocznym pliku, kt\u00f3ry zosta\u0142 zaindeksowany przez wyszukiwarki. W rezultacie Google m\u00f3g\u0142 wy\u015bwietla\u0107 wyniki dla zapyta\u0144 o skradziony adres e-mail lub has\u0142o.<\/p>\n\n\n
Phishing \u2013 dlaczego jest tak skuteczny?<\/h5>\n\n\n
Atakuj\u0105cy wykorzystali kilka sprawdzonych motyw\u00f3w wiadomo\u015bci e-mail, aby zwabi\u0107 potencjalne ofiary do trefnej strony logowania. Jednym z nich by\u0142 tytu\u0142 maila, kt\u00f3ry zawiera\u0142 nazw\u0119 odbiorcy lub firmy. Interesuj\u0105cym wyborem by\u0142a r\u00f3wnie\u017c tre\u015b\u0107 wiadomo\u015bci. Na skrzynk\u0119 odbiorcy trafia\u0142y powiadomienia o rzekomo zako\u0144czonym skanowaniu Xerox – w formacie HTML.<\/p>\n\n\n\n
Otwarcie za\u0142\u0105cznika skutkowa\u0142o za\u0142adowaniem w domy\u015blnej przegl\u0105darce strony logowania do us\u0142ugi Microsoft Office 365 z zamazanym obrazem dokumentu w tle. Pole nazwy u\u017cytkownika zawiera\u0142o ju\u017c adres e-mail ofiary, co zazwyczaj zmniejsza\u0142o jej czujno\u015b\u0107.<\/p>\n\n\n\n
Je\u015bli u\u017cytkownik MS 365 wpisa\u0142 swoje has\u0142o, dzia\u0142aj\u0105cy w tle kod JavaScript weryfikowa\u0142 poprawno\u015b\u0107 po\u015bwiadcze\u0144 i nast\u0119pnie przesy\u0142a\u0142 je na serwer drop-zone znajduj\u0105cy si\u0119 pod kontrol\u0105 atakuj\u0105cych. W tym samym u\u017cytkownik by\u0142 przekierowywany na prawdziw\u0105 stron\u0119 logowania Microsoft 365. Proste, ale jak skuteczne.<\/p>\n\n\n
Kto by\u0142 g\u0142\u00f3wnym celem ataku?<\/strong><\/h5>\n\n\nSzacuje si\u0119, \u017ce atakuj\u0105cy zebrali ju\u017c co najmniej 1000 danych logowania do firmowych kont Microsoft 365. Przest\u0119pc\u00f3w interesowa\u0142y g\u0142\u00f3wnie przedsi\u0119biorstwa z sektora budowlanego, energetycznego i IT. To one by\u0142y najcz\u0119stszym celem atak\u00f3w phishing.<\/p>\n\n\n\n
CVE-2020-28188 – RCE w panelu zarz\u0105dzania TerraMaster (ujawniony 4 grudnia 2020)
CVE-2021-3007 – b\u0142\u0105d deserializacji we Framework Zend (ujawniony 3 stycznia 2021)
CVE-2020-7961 – b\u0142\u0105d deserializacji w Liferay Portal (ujawniony 20 maja 2020)<\/p>\n\n\n\n
<\/a>FreakOut – przest\u0119pcy maj\u0105 pole do popisu…<\/h5>\n\n\n
W momencie, gdy bot FreakOut uzyska dost\u0119p do systemu, jego nast\u0119pnym krokiem jest pobranie i uruchomienie skryptu Python, kt\u00f3ry \u0142\u0105czy zainfekowane urz\u0105dzenia ze zdalnym kana\u0142em IRC. Z pomoc\u0105 IRC atakuj\u0105cy przekazuj\u0105 polecenia i \u201eorganizuj\u0105\u201d list\u0119 atak\u00f3w przy u\u017cyciu przej\u0119tych urz\u0105dze\u0144. Co jeszcze s\u0105 w stanie zrobi\u0107 atakuj\u0105cy? Jak si\u0119 okazuje, ca\u0142kiem sporo:<\/p>\n\n\n\n
- zbiera\u0107 informacji o zainfekowanym systemie;<\/li>
- tworzy\u0107 i wysy\u0142a\u0107 pakiety UDP i TCP;<\/li>
- przeprowadza\u0107 ataki brute-force Telnet przy u\u017cyciu listy zakodowanych na sta\u0142e po\u015bwiadcze\u0144;<\/li>
- uruchamia\u0107 skanowanie port\u00f3w;<\/li>
- przeprowadza\u0107 ataki ARP poisoning w ramach lokalnej sieci urz\u0105dzenia;<\/li>
- otworzy\u0107 odwr\u00f3con\u0105 pow\u0142ok\u0119 na zainfekowanym ho\u015bcie;<\/li>
- zatrzyma\u0107 lokalne procesy\u2026 i wi\u0119cej.<\/li><\/ul>\n\n\n\n
Zdaniem Check Point wszystkie te funkcje mo\u017cna ze sob\u0105 dowolnie \u0142\u0105czy\u0107 w celu wykonywania r\u00f3\u017cnych z\u0142o\u017conych operacji, takich jak przeprowadzanie atak\u00f3w DDoS, instalowanie kopaczy kryptowaluty, przekszta\u0142canie zainfekowanych bot\u00f3w w sie\u0107 proxy lub przeprowadzanie atak\u00f3w na wewn\u0119trzn\u0105 sie\u0107 zainfekowanego urz\u0105dzenia.<\/p>\n\n\n\n
Liczby<\/strong><\/p>\n\n\n\n
Najnowsze statystyki IRC sugeruj\u0105, \u017ce botnet kontroluje tylko oko\u0142o 180 zainfekowanych system\u00f3w. To ma\u0142o jak na tego typu zagro\u017cenie, ale jest to ju\u017c wystarczaj\u0105ca ilo\u015b\u0107 do przeprowadzenia bardzo skutecznych atak\u00f3w DDoS, zatruwania ARP, ukryte kopanie kryptowalut, przeprowadzanie atak\u00f3w brute-force lub czego\u015b jeszcze gorszego.<\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n
<\/div>\n\n\n\n<\/a>\n\n\n2. B\u0142\u0119dy DNSpooq pozwalaj\u0105 napastnikom przej\u0105\u0107 DNS na milionach urz\u0105dze\u0144<\/strong><\/h2>\n\n\n
DNSpooq to zbiorcza nazwa siedmiu luk w zabezpieczeniach Dnsmasq. Mo\u017cna wykorzysta\u0107 je do zatruwania DNS, zdalnego wykonania kodu oraz atak\u00f3w typu odmowa dost\u0119pu (DoS) na milionach urz\u0105dze\u0144, kt\u00f3rych dotyczy problem. Zosta\u0142 on odkryty przez izraelsk\u0105 firm\u0119 konsultingow\u0105 ds. bezpiecze\u0144stwa – JSOF. <\/p>\n\n\n\n
Dnsmasq to popularny i prosty serwer DHCP\/DNS. Dodaje on DNS catching i funkcje serwera DHCP (Dynamic Host Configuration Protocol) do Internet-of-Things (IoT) i innych wbudowanych urz\u0105dze\u0144.<\/p>\n\n\n\n
Nie jest jeszcze znana pe\u0142na liczba firm, kt\u00f3re u\u017cywaj\u0105 podatnych wersji, ale lista klient\u00f3w obejmuje Android\/Google, Comcast, Cisco, Redhat, Netgear, Qualcomm, Linksys, Netgear, IBM, D-Link, Dell, Huawei i Ubiquiti. <\/p>\n\n\n\n
Trzy z luk DNSpooq (\u015bledzone jako CVE-2020-25686, CVE-2020-25684, CVE-2020-25685) pozwalaj\u0105 na ataki zatruwania DNS, czyli DNS NS spoofing lub DNS cache poisoning. Jest to metoda ataku, kt\u00f3ra umo\u017cliwia cyberprzest\u0119pcom zast\u0119powanie prawdziwych rekord\u00f3w DNS na urz\u0105dzeniu, innymi, wybranymi przez siebie. Korzystaj\u0105c z tej metody, atakuj\u0105cy mog\u0105 przekierowywa\u0107 u\u017cytkownik\u00f3w na znajduj\u0105ce si\u0119 pod ich kontrol\u0105 z\u0142o\u015bliwe serwery. Jednocze\u015bnie odwiedzaj\u0105cym wydaje si\u0119, \u017ce odwiedzaj\u0105 legaln\u0105, autentyczn\u0105 witryn\u0119. <\/p>\n\n\n\n
<\/a>Obraze: JSOF<\/figcaption><\/figure><\/div>\n\n\n\n Pozosta\u0142e luki w zabezpieczeniach (CVE-2020-25687, CVE-2020-25683, CVE-2020-25682 i CVE-2020-25681) to klasyczne b\u0142\u0119dy zwi\u0105zane z przepe\u0142nieniem bufora. Mog\u0105 umo\u017cliwi\u0107 atakuj\u0105cym zdalne wykonanie dowolnego kodu na podatnym na ataki sprz\u0119cie sieciowym, w momencie gdy Dnsmasq jest skonfigurowany tak, aby u\u017cywa\u0107 DNSSEC.<\/p>\n\n\n\n
Ataki z wykorzystaniem DNSpooq s\u0105 do\u015b\u0107 \u0142atwe do przeprowadzenia i nie wymagaj\u0105 \u017cadnych nietypowych technik ani narz\u0119dzi. Taki atak mo\u017ce zako\u0144czy\u0107 si\u0119 sukcesem w kilka sekund lub minut…<\/p>\n\n\n\n
Co gorsze, wed\u0142ug Shodan, obecnie w sieci znajduje si\u0119 ponad 1 mln podatnych serwer\u00f3w Dnsmasq (BinaryEdge podaje liczb\u0119 630 tys.). Do tego dochodz\u0105 miliony router\u00f3w, VPN\u2019\u00f3w, smartfon\u00f3w, tablet\u00f3w, system\u00f3w informacyjno-rozrywkowych, modem\u00f3w, punkt\u00f3w dost\u0119pu, dron\u00f3w i podobnego sprz\u0119tu, kt\u00f3re cho\u0107 niedost\u0119pne w Internecie, s\u0105 podatne na atak. <\/p>\n\n\n\n
Jak si\u0119 chroni\u0107? Aby w pe\u0142ni z\u0142agodzi\u0107 ataki pr\u00f3buj\u0105ce wykorzysta\u0107 luki DNSpooq, JSOF zaleca aktualizacj\u0119 oprogramowania Dnsmasq do najnowszej wersji (2.83 lub nowszej).<\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n
<\/div>\n\n\n\n<\/a>\n\n\n3. Hakerzy przypadkowo ujawnili w sieci skradzione wcze\u015bniej dane uwierzytelniaj\u0105ce Microsoft 365<\/strong><\/h2>\n\n\n
Hakerzy – stoj\u0105cy za gigantyczn\u0105 kampani\u0105 phishingow\u0105 – zapomnieli w\u0142a\u015bciwie zabezpieczy\u0107 swoje \u0142upy, w efekcie da\u0142o si\u0119 je zwyczajnie \u201ewygooglowa\u0107\u201d.<\/p>\n\n\n\n
Wspomniana kampania phishingowa trwa ju\u017c ponad p\u00f3\u0142 roku i wykorzystuje dziesi\u0105tki domen, na kt\u00f3rych postawiono strony phishingowe. Operatorzy wykonuj\u0105 regularne aktualizacje. Poprawiaj\u0105 design okna logowania, tak by prezentowa\u0142o si\u0119 ono jak najbardziej realistycznie.<\/p>\n\n\n\n
Atakuj\u0105cy eksfiltrowali wykradzione dane na domeny, kt\u00f3re zarejestrowali na potrzeby swojej cyber-operacji. Pope\u0142nili jednak ra\u017c\u0105cy b\u0142\u0105d. Dane umie\u015bcili w publicznie widocznym pliku, kt\u00f3ry zosta\u0142 zaindeksowany przez wyszukiwarki. W rezultacie Google m\u00f3g\u0142 wy\u015bwietla\u0107 wyniki dla zapyta\u0144 o skradziony adres e-mail lub has\u0142o.<\/p>\n\n\n
Phishing \u2013 dlaczego jest tak skuteczny?<\/h5>\n\n\n
Atakuj\u0105cy wykorzystali kilka sprawdzonych motyw\u00f3w wiadomo\u015bci e-mail, aby zwabi\u0107 potencjalne ofiary do trefnej strony logowania. Jednym z nich by\u0142 tytu\u0142 maila, kt\u00f3ry zawiera\u0142 nazw\u0119 odbiorcy lub firmy. Interesuj\u0105cym wyborem by\u0142a r\u00f3wnie\u017c tre\u015b\u0107 wiadomo\u015bci. Na skrzynk\u0119 odbiorcy trafia\u0142y powiadomienia o rzekomo zako\u0144czonym skanowaniu Xerox – w formacie HTML.<\/p>\n\n\n\n
Otwarcie za\u0142\u0105cznika skutkowa\u0142o za\u0142adowaniem w domy\u015blnej przegl\u0105darce strony logowania do us\u0142ugi Microsoft Office 365 z zamazanym obrazem dokumentu w tle. Pole nazwy u\u017cytkownika zawiera\u0142o ju\u017c adres e-mail ofiary, co zazwyczaj zmniejsza\u0142o jej czujno\u015b\u0107.<\/p>\n\n\n\n
Je\u015bli u\u017cytkownik MS 365 wpisa\u0142 swoje has\u0142o, dzia\u0142aj\u0105cy w tle kod JavaScript weryfikowa\u0142 poprawno\u015b\u0107 po\u015bwiadcze\u0144 i nast\u0119pnie przesy\u0142a\u0142 je na serwer drop-zone znajduj\u0105cy si\u0119 pod kontrol\u0105 atakuj\u0105cych. W tym samym u\u017cytkownik by\u0142 przekierowywany na prawdziw\u0105 stron\u0119 logowania Microsoft 365. Proste, ale jak skuteczne.<\/p>\n\n\n
Kto by\u0142 g\u0142\u00f3wnym celem ataku?<\/strong><\/h5>\n\n\n
Szacuje si\u0119, \u017ce atakuj\u0105cy zebrali ju\u017c co najmniej 1000 danych logowania do firmowych kont Microsoft 365. Przest\u0119pc\u00f3w interesowa\u0142y g\u0142\u00f3wnie przedsi\u0119biorstwa z sektora budowlanego, energetycznego i IT. To one by\u0142y najcz\u0119stszym celem atak\u00f3w phishing.<\/p>\n\n\n\n