Security

Detectie van infiltrerende IT-medewerkers

3 min leestijd

Samenvatting

Microsoft heeft detectiestrategieën beschreven om dreigingsactoren gelieerd aan Noord-Korea te identificeren die zich voordoen als remote IT-medewerkers om organisaties te infiltreren. De richtlijnen richten zich op het correleren van signalen uit HR SaaS, identiteit, e-mail, conferencing en Microsoft 365, zodat security- en HR-teams verdachte kandidaten vóór en na onboarding kunnen herkennen.

Hulp nodig met Security?Praat met een expert

Introductie

Microsoft waarschuwt organisaties voor een groeiende dreiging: valse remote IT-medewerkers die gestolen of gefabriceerde identiteiten gebruiken om te worden aangenomen en legitieme toegang te krijgen tot bedrijfssystemen. Voor securityteams die Microsoft 365, Defender en SaaS-integraties beheren, is dit relevant omdat de aanval begint in normale HR-processen en snel kan uitgroeien tot een incident rond identiteit en gegevensbeveiliging.

Wat is nieuw

In de nieuwste richtlijnen van Microsoft wordt uitgelegd hoe defenders deze activiteit gedurende de volledige wervingscyclus kunnen detecteren, waarbij Jasper Sleet wordt genoemd als bekend voorbeeld van deze tactiek.

Detectie vóór de wervingsfase in Workday

Microsoft constateerde verdacht gebruik van Workday Recruiting Web Service-endpoints die via externe careersites worden blootgesteld. Belangrijke gedragingen zijn onder meer:

  • Herhaalde toegang tot hrrecruiting/* API-endpoints
  • Aanroepen naar API’s voor sollicitaties, cv’s en vragenlijsten
  • Meerdere externe accounts met hetzelfde terugkerende toegangspatroon
  • Activiteit afkomstig van bekende infrastructuur van dreigingsactoren

Met de Microsoft Defender for Cloud Apps Workday connector kunnen organisaties deze API-calls volgen, externe accounts identificeren en activiteit vergelijken met threat intelligence.

Onderzoek tijdens de wervingsfase

Tijdens interviews en documentverwerking moeten defenders aanvullende signalen correleren, zoals:

  • Verdachte e-mailuitwisselingen met hiring teams
  • Externe Teams-berichten vanaf risicovolle IP-adressen of accounts
  • Activiteit in Zoom of Cisco Webex via Defender for Cloud Apps-connectors
  • DocuSign-activiteit rond offer letters uit verdachte bronnen

Hiermee kunnen security- en HR-teams frauduleuze kandidaten eerder in het proces markeren.

Monitoring van identiteit en SaaS na indiensttreding

Zodra iemand is aangenomen, neemt het risico toe omdat de actor een legitiem account krijgt. Microsoft zag gevallen waarin Workday-aanmeldingen van nieuwe medewerkers en payroll-wijzigingen afkomstig waren van bekende kwaadaardige infrastructuur. Na onboarding moeten defenders letten op:

  • Impossible travel-waarschuwingen voor accounts van nieuwe medewerkers
  • Toegang via anonieme proxies of ongebruikelijke locaties
  • Zoek- en downloadactiviteit in Teams, SharePoint, OneDrive en Exchange Online
  • Ongebruikelijke patronen van gegevenstoegang in de eerste weken of maanden van het dienstverband

Waarom dit belangrijk is voor IT-beheerders

Dit is niet alleen een HR-kwestie. Een frauduleuze medewerker kan veel traditionele perimeterverdedigingen omzeilen, omdat deze geldige credentials en goedgekeurde toegang ontvangt. Securityteams hebben zichtbaarheid nodig in HR-systemen, Entra ID, Microsoft 365 en collaboration tools van derden om dit gedrag vroegtijdig te detecteren.

Aanbevolen vervolgstappen

  • Controleer Workday API-telemetrie op herhaalde hrrecruiting/*-activiteit
  • Schakel Defender for Cloud Apps-connectors in en valideer deze voor Workday, Zoom, Webex en DocuSign waar van toepassing
  • Jaag op verdachte communicatie met kandidaten en externe accounts
  • Monitor identiteiten van nieuwe medewerkers nauwgezet op impossible travel, proxygebruik en abnormale Microsoft 365-toegang
  • Coördineer HR- en securityonderzoeken bij verdachte onboardinggebeurtenissen

Organisaties met remote hiring-programma’s moeten recruitmentworkflows behandelen als onderdeel van hun identity attack surface en deze opnemen in threat hunting- en detectiestrategieën.

Hulp nodig met Security?

Onze experts helpen u bij het implementeren en optimaliseren van uw Microsoft-oplossingen.

Praat met een expert

Blijf op de hoogte van Microsoft-technologieën

Lees het originele artikel van Microsoft Defender Security Research Team and Microsoft Threat Intelligence
Microsoft DefenderWorkdayremote IT workersidentity securityDefender for Cloud Apps

Gerelateerde artikelen

Security

Opportunistische cyberaanvallen: Microsofts aanpak

Microsoft roept organisaties op om opportunistische cyberaanvallen moeilijker te maken door credentials te verwijderen, publieke aanvalsvlakken te verkleinen en veilige platformpatronen te standaardiseren. De richtlijnen zijn vooral relevant voor teams die Azure-, Dynamics 365- en Power Platform-workloads op schaal beheren, waar inconsistente architecturen en blootgestelde secrets laterale beweging voor aanvallers eenvoudiger kunnen maken.

Security

{{Cross-tenant Teams-imitatieaanval playbook}}

{{Microsoft heeft een menselijke intrusieketen beschreven waarbij aanvallers cross-tenant Microsoft Teams-chats gebruiken om zich voor te doen als helpdeskmedewerkers en gebruikers te misleiden om externe toegang te verlenen via tools zoals Quick Assist. Deze campagne is belangrijk omdat legitieme samenwerking, externe ondersteuning en beheertools worden gecombineerd om laterale verplaatsing, persistentie en data-exfiltratie mogelijk te maken, terwijl het lijkt op normale IT-activiteit.}}

Security

Microsoft Defender predictive shielding stopt AD-aanvallen

Microsoft beschreef hoe predictive shielding in Defender een Active Directory-domeincompromis kan indammen door blootgestelde accounts met hoge bevoegdheden te beperken voordat aanvallers gestolen referenties opnieuw gebruiken. Deze mogelijkheid helpt beveiligingsteams laterale beweging te verminderen en het responsgat te dichten tijdens snel verlopende identiteitsaanvallen.

Security

Sapphire Sleet macOS-inbraak: Defender-inzichten

Microsoft Threat Intelligence beschreef een op macOS gerichte campagne van Sapphire Sleet die social engineering en valse software-updates gebruikt in plaats van kwetsbaarheden uit te buiten. De aanvalsketen steunt op door gebruikers gestarte AppleScript- en Terminal-uitvoering om ingebouwde macOS-bescherming te omzeilen, waardoor gelaagde verdediging, gebruikersbewustzijn en endpointdetectie extra belangrijk zijn.

Security

{{Cryptografische inventarisstrategie voor quantumgereedheid}}

{{Microsoft spoort organisaties aan om cryptografische inventarisatie te behandelen als de eerste praktische stap naar post-quantum-gereedheid. Het bedrijf schetst een continue lifecycle voor Cryptography Posture Management om securityteams te helpen cryptografische risico’s in code, netwerken, runtime en opslag te ontdekken, beoordelen, prioriteren en verhelpen.}}

Security

AI-incidentrespons: wat securityteams moeten wijzigen

Microsoft stelt dat traditionele principes voor incident response nog steeds gelden voor AI-systemen, maar dat teams zich moeten aanpassen aan niet-deterministisch gedrag, snellere schade op schaal en nieuwe risicocategorieën. Het bedrijf benadrukt de noodzaak van betere AI-telemetrie, cross-functionele responsplannen en gefaseerde remediatie om problemen snel te beperken terwijl langetermijnoplossingen worden ontwikkeld.