Het aantal succesvolle cyberaanvallen waarbij cloudaccounts van topbestuurders worden overgenomen, is met meer dan 100 procent gestegen. Cybercriminelen maken hierbij gebruik van een phishingtool – EvilProxy – gebaseerd op reverse proxy waarmee ze MFA-gegevens en sessiecookies stelen. Hierop duidt onderzoek van Proofpoint.

Steeds meer organisaties maken gebruik van multifactor-authenticatie (MFA). Maar in tegenstelling tot wat je zou verwachten, lukt het cybercriminelen desondanks steeds vaker om cloudaccounts over te nemen. Minstens 35 procent van alle gecompromitteerde gebruikers in het afgelopen jaar gebruikte MFA. Aanvallers gebruiken daarbij geavanceerde, automatiseerde tools om in-real-time te bepalen of een gebruiker een belangrijke functie heeft. Vervolgens krijgen ze via deze tools direct toegang tot het account, terwijl ze minder interessante profielen links laten liggen.

Sinds begin maart volgen onderzoekers van Proofpoint een aanvalscampagne waarbij de phishingtool EvilProxy wordt gebruikt om duizenden Microsoft 365-accounts aan te vallen. De omvang van deze campagne is enorm. Tussen maart en juni 2023 werden ongeveer 120.000 phishing-e-mails verzonden naar honderden organisaties wereldwijd.

Tijdens de phishing-fase van de aanval gebruikten aanvallers verschillende technieken: merkvervalsing, waarbij de afzenders zich voordeden als bekende diensten en apps, zoals Concur Solutions, DocuSign en Adobe. Ze maakten ook gebruik van scanblokkering, waarmee ze zich beschermden tegen cybersecurity-scanbots, waardoor beveiligingsoplossingen schadelijke webpagina’s moeilijker konden analyseren. Ze hanteerden in hun aanvallen meerdere stappen: door verkeer om te leiden via legitieme websites, gevolgd door aanvullende stappen, zoals schadelijke cookies en 404-omleidingslinks.

Aanvallers richtten zich met name op gebruikers in belangrijke functies, zoals C-level executives en VP’s bij toonaangevende bedrijven. Van de honderden slachtoffers was ongeveer 39 procent een leidinggevende op C-level, waarvan 17 procent CFO en 9 procent president of CEO.

Na toegang tot een account probeerden criminelen hun positie binnen de cloudomgeving van de getroffen organisatie te verstevigen. In meerdere gevallen maakten aanvallers gebruik van een Microsoft 365-applicatie om MFA verder te manipuleren. Door gebruik te maken van ‘My Sign-Ins’ konden aanvallers hun eigen MFA-methode toevoegen, waardoor ze blijvend toegang kregen tot gecompromitteerde gebruikersaccounts.

Reverse proxy-dreigingen, en EvilProxy in het bijzonder, zijn een groot gevaar en winnen het van de minder capabele phishing-kits van weleer, concluderen de onderzoekers. Ze zijn aanzienlijk in populariteit gestegen en hebben cruciale gaten in de verdedigingsstrategieën van organisaties blootgelegd.