Security

{{Microsoft Defender opdager infiltrerende IT-medarbejdere}}

3 min læsning

Resumé

{{Microsoft har beskrevet detektionsstrategier til at identificere trusselsaktører med tilknytning til Nordkorea, som udgiver sig for at være eksterne IT-ansættelser for at infiltrere organisationer. Vejledningen fokuserer på at korrelere signaler fra HR SaaS, identitet, e-mail, conferencing og Microsoft 365, så sikkerheds- og HR-teams kan opdage mistænkelige kandidater før og efter onboarding.}}

Brug for hjælp med Security?Tal med en ekspert

{{## Introduktion Microsoft advarer organisationer om en voksende trussel: falske eksterne IT-medarbejdere, der bruger stjålne eller fabrikerede identiteter til at blive ansat og få legitim adgang til virksomhedens systemer. For sikkerhedsteams, der administrerer Microsoft 365, Defender og SaaS-integrationer, er dette vigtigt, fordi angrebet starter i normale HR-processer og hurtigt kan udvikle sig til en identitets- og datasikkerhedshændelse.

Hvad er nyt

Microsofts nyeste vejledning forklarer, hvordan forsvarere kan opdage denne aktivitet på tværs af hele ansættelsesforløbet, hvor Jasper Sleet nævnes som et kendt eksempel på denne taktik.

Detektion før rekruttering i Workday

Microsoft observerede mistænkelig brug af Workday Recruiting Web Service-endpoints, som er eksponeret via eksterne karrieresider. Vigtige adfærdsmønstre omfatter:

  • Gentagen adgang til hrrecruiting/* API-endpoints
  • Kald til API'er for jobansøgninger, CV'er og spørgeskemaer
  • Flere eksterne konti, der viser det samme gentagne adgangsmønster
  • Aktivitet, der stammer fra kendt trusselsaktør-infrastruktur

Med Microsoft Defender for Cloud Apps Workday connector kan organisationer spore disse API-kald, identificere eksterne konti og sammenligne aktivitet med threat intelligence.

Undersøgelse i rekrutteringsfasen

Under interviews og dokumenthåndtering bør forsvarere korrelere yderligere signaler såsom:

  • Mistænkelige e-mailudvekslinger med ansættelsesteams
  • Eksterne Teams-beskeder fra risikable IP-adresser eller konti
  • Aktivitet i Zoom eller Cisco Webex via Defender for Cloud Apps connectors
  • DocuSign-aktivitet relateret til tilbudsbreve fra mistænkelige kilder

Dette hjælper sikkerheds- og HR-teams med at markere svigagtige kandidater tidligere i processen.

Overvågning af identitet og SaaS efter ansættelse

Når personen er ansat, øges risikoen, fordi aktøren modtager en legitim konto. Microsoft observerede tilfælde, hvor nye medarbejderes Workday-logins og ændringer i lønforhold kom fra kendt ondsindet infrastruktur. Efter onboarding bør forsvarere holde øje med:

  • Impossible travel-advarsler på nye medarbejderkonti
  • Adgang fra anonyme proxier eller usædvanlige lokationer
  • Søge- og downloadaktivitet i Teams, SharePoint, OneDrive og Exchange Online
  • Usædvanlige dataadgangsmønstre i de første uger eller måneder af ansættelsen

Hvorfor dette er vigtigt for IT-administratorer

Dette er ikke kun et HR-problem. En svigagtig ansættelse kan omgå mange traditionelle perimeterforsvar, fordi personen får gyldige legitimationsoplysninger og godkendt adgang. Sikkerhedsteams har brug for synlighed på tværs af HR-systemer, Entra ID, Microsoft 365 og tredjepartsværktøjer til samarbejde for at opdage adfærden tidligt.

Anbefalede næste skridt

  • Gennemgå Workday API-telemetri for gentagen hrrecruiting/*-aktivitet
  • Aktivér og valider Defender for Cloud Apps connectors til Workday, Zoom, Webex og DocuSign, hvor det er relevant
  • Hunt efter mistænkelig kommunikation, der involverer kandidater og eksterne konti
  • Overvåg nøje nye medarbejderidentiteter for impossible travel, proxybrug og unormal Microsoft 365-adgang
  • Koordiner HR- og sikkerhedsundersøgelser ved mistænkelige onboarding-hændelser

Organisationer med programmer for fjernansættelse bør betragte rekrutteringsworkflows som en del af deres identitetsangrebsoverflade og inkludere dem i strategier for threat hunting og detektion.}}

Brug for hjælp med Security?

Vores eksperter kan hjælpe dig med at implementere og optimere dine Microsoft-løsninger.

Tal med en ekspert

Hold dig opdateret om Microsoft-teknologier

Læs den originale artikel af Microsoft Defender Security Research Team and Microsoft Threat Intelligence
Microsoft DefenderWorkdayremote IT workersidentity securityDefender for Cloud Apps

Relaterede indlæg

Security

Opportunistiske cyberangreb: Microsofts designguide

Microsoft opfordrer organisationer til at gøre opportunistiske cyberangreb sværere ved at fjerne legitimationsoplysninger, reducere offentlige angrebsflader og standardisere sikre platformsmønstre. Vejledningen er især relevant for teams, der kører Azure-, Dynamics 365- og Power Platform-arbejdsbelastninger i stor skala, hvor inkonsistente arkitekturer og eksponerede hemmeligheder kan gøre lateral bevægelse lettere for angribere.

Security

Cross-tenant Teams-efterligning: angrebs-playbook

Microsoft har beskrevet en menneskestyret indtrængningskæde, hvor angribere bruger cross-tenant Microsoft Teams-chats til at udgive sig for helpdesk-medarbejdere og narre brugere til at give fjernadgang via værktøjer som Quick Assist. Kampagnen er vigtig, fordi den kombinerer legitimt samarbejde, fjernsupport og admin-værktøjer for at muliggøre lateral bevægelse, vedvarende adgang og dataeksfiltrering, mens det ligner normal IT-aktivitet.

Security

Microsoft Defender predictive shielding stopper AD-angreb

Microsoft beskrev, hvordan Defenders predictive shielding kan inddæmme kompromittering af Active Directory-domæner ved at begrænse eksponerede konti med høje rettigheder, før angribere kan genbruge stjålne legitimationsoplysninger. Funktionen hjælper sikkerhedsteams med at reducere lateral movement og lukke reaktionsgabet under hurtigt udviklende identitetsangreb.

Security

Sapphire Sleet macOS-indtrængen: vigtig Defender-indsigt

Microsoft Threat Intelligence beskrev en macOS-fokuseret kampagne fra Sapphire Sleet, der bruger social engineering og falske softwareopdateringer i stedet for at udnytte sårbarheder. Angrebskæden er afhængig af, at brugeren selv starter AppleScript og Terminal-eksekvering for at omgå indbyggede macOS-beskyttelser, hvilket gør lagdelt sikkerhed, brugerbevidsthed og endpoint-detektion særligt vigtigt.

Security

Kryptografisk inventarstrategi til quantum-parathed

Microsoft opfordrer organisationer til at betragte kryptografisk inventar som det første praktiske skridt mod post-quantum-parathed. Virksomheden skitserer en kontinuerlig livscyklus for Cryptography Posture Management, der hjælper sikkerhedsteams med at opdage, vurdere, prioritere og afhjælpe kryptografiske risici på tværs af kode, netværk, runtime og lagring.

Security

AI-hændelsesrespons: Det skal sikkerhedsteams ændre

Microsoft siger, at traditionelle principper for incident response stadig gælder for AI-systemer, men teams skal tilpasse sig ikke-deterministisk adfærd, hurtigere skade i stor skala og nye risikokategorier. Virksomheden fremhæver behovet for bedre AI-telemetri, tværfunktionelle responsplaner og trinvis afhjælpning for hurtigt at begrænse problemer, mens langsigtede løsninger udvikles.