这些骇客对服务台拨打电话,声称他们收到了新手机,需要重设多因素验证(MFA)机制。在与服务台管理员互动的过程中,对方不仅能重设特权帐号的密码,还能绕过多因素验证防护。
在成功得到受害组织的初始存取权限后,这些骇客针对微软应用系统进行内部侦察,并找出远端连线的存取管道。他们经常挖掘SharePoint网站上提供的VPN、虚拟桌面基础设施(VDI),以及远距办公相关的内部文件进行调查,从而滥用合法工具远端存取受害组织的内部环境。
此外,这些骇客也滥用身分验证系统Okta,将成功入侵的帐号加入所有与Okta串连的应用程式,从而将攻击范围从内部网路环境延伸到云端的SaaS应用程式。研究人员指出,这么做骇客不仅滥用了单一签入(SSO)机制,还能借由Okta管理平台观察这些帐号的状态,来进一步侦察。
值得留意的是,这些骇客为了持续在受害组织活动,他们透过建立虚拟机器(VM)来达到目的。在许多攻击行动里,研究人员看到对方透过单一签入存取vSphere及Azure,建立VM并借此执行后续工作。研究人员指出,骇客这么做的动机,主要是滥用管理群组或是应用程式绑定的管理员权限而能得逞。
为了绕过云端服务的身分验证机制,他们发现对方利用名为PCUnlocker的光碟映像档,并透过vCenter将其挂载到VM使用。此外,这些骇客还会重设电脑d的管理员密码,而能绕过网域控制。
而对于骇客存取的SaaS服务,他们指出包含了vCenter、CyberArk、SalesForce、Azure、CrowdStrike、AWS、GCP,而且,在成功入侵这类服务后,便会执行进一步的侦察,甚至会使用云端同步工具Airbyte、Fivetran,将受害组织的资料转移到GCP及AWS上。此外,他们也发现对方会拿EDR系统来进行测试,并锁定Active Directory Federated Services(AD FS),从而将相关帐密用于Golden SAML攻击。