Security

Выявление подставных IT-сотрудников в Defender

3 мин. чтения

Кратко

Microsoft описала стратегии обнаружения North Korea-aligned злоумышленников, которые выдают себя за удалённых IT-специалистов, чтобы проникнуть в организации. Руководство сосредоточено на корреляции сигналов из HR SaaS, identity, email, conferencing и Microsoft 365, чтобы команды безопасности и HR могли выявлять подозрительных кандидатов до и после найма.

Нужна помощь с Security?Поговорить с экспертом

Introduction

Microsoft предупреждает организации о растущей угрозе: фальшивые удалённые IT-сотрудники используют украденные или поддельные личности, чтобы устроиться на работу и получить легитимный доступ к корпоративным системам. Для команд безопасности, управляющих Microsoft 365, Defender и SaaS-интеграциями, это важно, потому что атака начинается в обычных HR-процессах и может быстро перерасти в инцидент безопасности identity и данных.

What’s new

В последнем руководстве Microsoft объясняется, как защитники могут выявлять такую активность на всём протяжении жизненного цикла найма; Jasper Sleet приводится как известный пример этой тактики.

Pre-recruitment detection in Workday

Microsoft наблюдала подозрительное использование endpoint’ов Workday Recruiting Web Service, доступных через внешние карьерные сайты. Ключевые признаки включают:

  • Повторяющийся доступ к API endpoint’ам hrrecruiting/*
  • Вызовы API, связанных с подачей заявки, резюме и анкетами
  • Несколько внешних учётных записей с одинаковым повторяющимся шаблоном доступа
  • Активность, исходящая из известной инфраструктуры threat actor’ов

С помощью коннектора Microsoft Defender for Cloud Apps для Workday организации могут отслеживать эти API-вызовы, выявлять внешние учётные записи и сопоставлять активность с threat intelligence.

Recruiting phase investigation

Во время собеседований и обработки документов защитникам следует коррелировать дополнительные сигналы, такие как:

  • Подозрительные email-переписки с командами по найму
  • Внешние сообщения Teams с рискованных IP-адресов или учётных записей
  • Активность в Zoom или Cisco Webex через коннекторы Defender for Cloud Apps
  • Активность DocuSign, связанная с offer letter, из подозрительных источников

Это помогает командам безопасности и HR раньше помечать мошеннических кандидатов.

Post-hire identity and SaaS monitoring

После найма риск возрастает, поскольку злоумышленник получает легитимную учётную запись. Microsoft наблюдала случаи, когда входы новых сотрудников в Workday и изменения payroll выполнялись из известной вредоносной инфраструктуры. После onboarding защитникам следует отслеживать:

  • Оповещения impossible travel для учётных записей новых сотрудников
  • Доступ через анонимные proxy или из необычных местоположений
  • Активность поиска и скачивания в Teams, SharePoint, OneDrive и Exchange Online
  • Необычные шаблоны доступа к данным в первые недели или месяцы работы

Why this matters for IT admins

Это не только HR-проблема. Мошеннический сотрудник может обойти многие традиционные средства периметровой защиты, потому что получает действительные учётные данные и одобренный доступ. Командам безопасности нужна видимость across HR-систем, Entra ID, Microsoft 365 и сторонних инструментов совместной работы, чтобы выявить такое поведение как можно раньше.

  • Проверьте телеметрию Workday API на предмет повторяющейся активности hrrecruiting/*
  • Включите и проверьте коннекторы Defender for Cloud Apps для Workday, Zoom, Webex и DocuSign, где это применимо
  • Ищите подозрительные коммуникации с участием кандидатов и внешних учётных записей
  • Внимательно отслеживайте identity новых сотрудников на предмет impossible travel, использования proxy и аномального доступа к Microsoft 365
  • Координируйте расследования HR и безопасности по подозрительным событиям onboarding

Организациям с программами удалённого найма следует рассматривать процессы рекрутинга как часть своей поверхности identity-атак и включать их в стратегии threat hunting и detection.

Нужна помощь с Security?

Наши эксперты помогут вам внедрить и оптимизировать решения Microsoft.

Поговорить с экспертом

Будьте в курсе технологий Microsoft

Читать оригинальную статью от Microsoft Defender Security Research Team and Microsoft Threat Intelligence
Microsoft DefenderWorkdayremote IT workersidentity securityDefender for Cloud Apps

Похожие статьи

Security

Предотвращение opportunistic cyberattacks: подход Microsoft

Microsoft призывает организации затруднить opportunistic cyberattacks, устраняя учетные данные, сокращая публичную поверхность атаки и стандартизируя безопасные платформенные шаблоны. Эти рекомендации особенно актуальны для команд, которые масштабно используют Azure, Dynamics 365 и Power Platform, где несогласованная архитектура и раскрытые секреты могут упростить злоумышленникам латеральное перемещение.

Security

Атака через impersonation в Teams между tenants

Microsoft подробно описала цепочку атак с участием оператора, в которой злоумышленники используют межтенантные чаты Microsoft Teams, чтобы выдавать себя за сотрудников helpdesk и убеждать пользователей предоставить удалённый доступ через такие инструменты, как Quick Assist. Кампания важна тем, что сочетает легитимные средства совместной работы, удалённой поддержки и администрирования для бокового перемещения, закрепления и эксфильтрации данных, при этом маскируясь под обычную IT-активность.

Security

Predictive shielding в Microsoft Defender против AD-атак

Microsoft рассказала, как predictive shielding в Defender помогает сдерживать компрометацию домена Active Directory, ограничивая доступ скомпрометированных высокопривилегированных учетных записей до того, как злоумышленники смогут повторно использовать украденные учетные данные. Эта возможность помогает командам безопасности сократить латеральное перемещение и уменьшить окно реагирования при быстро развивающихся атаках на идентификацию.

Security

Взлом macOS Sapphire Sleet: выводы Defender

Microsoft Threat Intelligence подробно описала кампанию Sapphire Sleet, нацеленную на macOS и использующую социальную инженерию и поддельные обновления ПО вместо эксплуатации уязвимостей. Цепочка атаки основана на инициированном пользователем запуске AppleScript и Terminal для обхода встроенных средств защиты macOS, что делает особенно важными многоуровневую защиту, осведомлённость пользователей и обнаружение угроз на конечных точках.

Security

Стратегия криптографической инвентаризации для квантовой готовности

Microsoft призывает организации рассматривать криптографическую инвентаризацию как первый практический шаг к постквантовой готовности. Компания описывает непрерывный жизненный цикл Cryptography Posture Management, который помогает командам безопасности выявлять, оценивать, приоритизировать и устранять криптографические риски в коде, сети, среде выполнения и хранилищах.

Security

Реагирование на AI-инциденты: что менять командам

Microsoft заявляет, что традиционные принципы incident response по-прежнему применимы к AI-системам, но командам нужно адаптироваться к недетерминированному поведению, более быстрому масштабному ущербу и новым категориям рисков. Компания подчеркивает необходимость более качественной AI-телеметрии, кросс-функциональных планов реагирования и поэтапного устранения проблем, чтобы быстро сдерживать инциденты, пока разрабатываются долгосрочные исправления.