Security

Detekcija lažnih IT radnika uz Microsoft Defender

3 min čitanja

Sažetak

Microsoft je predstavio strategije detekcije za prepoznavanje aktera pretnji povezanih sa Severnom Korejom koji se predstavljaju kao udaljeni IT kandidati kako bi se infiltrirali u organizacije. Smernice su usmerene na povezivanje signala iz HR SaaS sistema, identiteta, e-pošte, konferencijskih alata i Microsoft 365 kako bi bezbednosni i HR timovi mogli da uoče sumnjive kandidate pre i posle zaposlenja.

Trebate pomoć sa Security?Razgovarajte sa stručnjakom

Uvod

Microsoft upozorava organizacije na rastuću pretnju: lažne udaljene IT radnike koji koriste ukradene ili fabrikovane identitete da bi se zaposlili i dobili legitiman pristup korporativnim sistemima. Za bezbednosne timove koji upravljaju Microsoft 365, Defender i SaaS integracijama, ovo je važno jer napad počinje u uobičajenim HR procesima i brzo može prerasti u incident bezbednosti identiteta i podataka.

Šta je novo

Najnovije Microsoft smernice objašnjavaju kako branioci mogu da otkriju ovu aktivnost kroz ceo životni ciklus zapošljavanja, pri čemu se Jasper Sleet navodi kao poznat primer ove taktike.

Detekcija pre regrutacije u Workday

Microsoft je primetio sumnjivu upotrebu Workday Recruiting Web Service endpointa izloženih preko eksternih karijernih sajtova. Ključna ponašanja uključuju:

  • Ponavljani pristup hrrecruiting/* API endpointima
  • Pozive ka API-jima za prijave za posao, biografije i upitnike
  • Više eksternih naloga sa istim obrascem pristupa koji se ponavlja
  • Aktivnosti koje potiču iz infrastrukture poznatih aktera pretnji

Uz Microsoft Defender for Cloud Apps Workday connector, organizacije mogu da prate ove API pozive, identifikuju eksterne naloge i uporede aktivnosti sa threat intelligence podacima.

Istraga tokom faze regrutacije

Tokom intervjua i obrade dokumenata, branioci treba da povežu dodatne signale kao što su:

  • Sumnjiva razmena e-pošte sa timovima za zapošljavanje
  • Eksterne Teams poruke sa rizičnih IP adresa ili naloga
  • Aktivnosti u Zoom ili Cisco Webex kroz Defender for Cloud Apps connectore
  • DocuSign aktivnosti povezane sa ponudama za posao iz sumnjivih izvora

Ovo pomaže bezbednosnim i HR timovima da ranije označe lažne kandidate u procesu.

Praćenje identiteta i SaaS-a nakon zaposlenja

Kada kandidat bude zaposlen, rizik raste jer akter dobija legitiman nalog. Microsoft je primetio slučajeve u kojima su Workday prijave novozaposlenih i izmene na platnom spisku dolazile iz poznate zlonamerne infrastrukture. Nakon onboardinga, branioci treba da obrate pažnju na:

  • Impossible travel upozorenja na nalozima novozaposlenih
  • Pristup preko anonimnih proxy servisa ili sa neuobičajenih lokacija
  • Aktivnosti pretrage i preuzimanja u Teams, SharePoint, OneDrive i Exchange Online
  • Neuobičajene obrasce pristupa podacima tokom prvih nedelja ili meseci zaposlenja

Zašto je ovo važno za IT administratore

Ovo nije samo HR problem. Lažno zaposleno lice može da zaobiđe mnoge tradicionalne perimetarske odbrane jer dobija važeće akreditive i odobren pristup. Bezbednosnim timovima je potrebna vidljivost kroz HR sisteme, Entra ID, Microsoft 365 i alate za saradnju trećih strana kako bi rano otkrili ovakvo ponašanje.

Preporučeni sledeći koraci

  • Pregledajte Workday API telemetriju radi ponavljane hrrecruiting/* aktivnosti
  • Omogućite i proverite Defender for Cloud Apps connectore za Workday, Zoom, Webex i DocuSign gde je primenljivo
  • Sprovedite hunting za sumnjivim komunikacijama koje uključuju kandidate i eksterne naloge
  • Pažljivo pratite identitete novozaposlenih zbog impossible travel događaja, korišćenja proxy сервиса i abnormalnog pristupa u Microsoft 365
  • Koordinišite HR i bezbednosne istrage za sumnjive onboarding događaje

Organizacije sa programima udaljenog zapošljavanja trebalo bi da tretiraju tokove regrutacije kao deo svoje površine napada na identitet i da ih uključe u threat hunting i strategije detekcije.

Trebate pomoć sa Security?

Naši stručnjaci mogu vam pomoći da implementirate i optimizujete vaša Microsoft rešenja.

Razgovarajte sa stručnjakom

Budite u toku sa Microsoft tehnologijama

Pročitajte originalni članak od Microsoft Defender Security Research Team and Microsoft Threat Intelligence
Microsoft DefenderWorkdayremote IT workersidentity securityDefender for Cloud Apps

Povezani članci

Security

Sprečavanje opportunistic cyberattacks po Microsoftu

Microsoft poziva organizacije da otežaju opportunistic cyberattacks uklanjanjem akreditiva, smanjenjem javno izloženih attack surface tačaka i standardizacijom bezbednih platformskih obrazaca. Smernice su posebno relevantne za timove koji u velikom obimu koriste Azure, Dynamics 365 i Power Platform, gde nedosledne arhitekture i izložene tajne mogu napadačima olakšati lateralno kretanje.

Security

Cross-tenant Teams lažno predstavljanje napad

Microsoft je detaljno opisao lanac upada kojim upravljaju napadači, u kome koriste cross-tenant Microsoft Teams ćaskanja da se predstave kao helpdesk osoblje i prevare korisnike da odobre udaljeni pristup kroz alate kao što je Quick Assist. Ova kampanja je značajna jer kombinuje legitimne alate za saradnju, udaljenu podršku i administraciju kako bi omogućila lateral movement, persistence i data exfiltration, dok sve izgleda kao uobičajena IT aktivnost.

Security

{{Microsoft Defender predictive shielding zaustavlja AD napade}}

Microsoft je objavio kako Defender predictive shielding može da obuzda kompromitaciju Active Directory domena ograničavanjem izloženih naloga sa visokim privilegijama pre nego što napadači ponovo iskoriste ukradene akreditive. Ova mogućnost pomaže bezbednosnim timovima da smanje lateralno kretanje i zatvore jaz u odgovoru tokom brzih identity napada.

Security

Sapphire Sleet macOS upad: ključni Defender uvidi

Microsoft Threat Intelligence je objavio detalje kampanje usmerene na macOS koju sprovodi Sapphire Sleet, a koja koristi social engineering i lažna ažuriranja softvera umesto iskorišćavanja ranjivosti. Lanac napada se oslanja na pokretanje AppleScript i Terminal komandi od strane korisnika kako bi zaobišao nativne macOS zaštite, što dodatno naglašava važnost slojevite odbrane, obuke korisnika i endpoint detekcije.

Security

Strategija kriptografskog inventara za kvantnu spremnost

Microsoft poziva organizacije da kriptografski inventar tretiraju kao prvi praktični korak ka post-quantum spremnosti. Kompanija predstavlja kontinuirani lifecycle upravljanja kriptografskim stanjem kako bi bezbednosni timovi mogli da otkriju, procene, odrede prioritete i otklone kriptografske rizike kroz kod, mreže, runtime okruženja i skladištenje.

Security

AI odgovor na incidente: šta timovi moraju menjati

Microsoft navodi da se tradicionalni principi odgovora na incidente i dalje primenjuju na AI sisteme, ali timovi moraju da se prilagode nedeterminističkom ponašanju, bržem nastanku štete u velikom obimu i novim kategorijama rizika. Kompanija ističe potrebu za boljom AI telemetrijom, planovima odgovora koji uključuju više funkcija i faznom sanacijom kako bi se problemi brzo obuzdali dok se razvijaju dugoročnija rešenja.