Hackers vervalsen Microsoft ADFS-inlogpagina’s om inloggegevens te stelen.

Een helpdesk-phishingcampagne richt zich op de Microsoft Active Directory Federation Services (ADFS) van een organisatie door gebruik te maken van nagebootste inlogpagina’s om inloggegevens te stelen en beveiligingen voor multi-factor authenticatie (MFA) te omzeilen.

Volgens Abnormal Security, die deze campagne heeft ontdekt, zijn de doelwitten voornamelijk onderwijs-, gezondheidszorg- en overheidsorganisaties, waarbij de aanval zich richt op minstens 150 doelwitten.

Deze aanvallen hebben als doel toegang te krijgen tot zakelijke e-mailaccounts om e-mails te versturen naar extra slachtoffers binnen de organisatie of financieel gemotiveerde aanvallen uit te voeren, zoals Business Email Compromise (BEC), waarbij betalingen worden omgeleid naar de rekeningen van de dreigingsactoren.

Het vervalsen van Microsoft Active Directory Federation Services

Microsoft Active Directory Federation Services (ADFS) is een authenticatiesysteem waarmee gebruikers één keer kunnen inloggen en toegang hebben tot meerdere applicaties en diensten zonder hun inloggegevens herhaaldelijk in te voeren.

Het wordt doorgaans gebruikt in grote organisaties om Single Sign-On (SSO) te bieden over interne en cloud-gebaseerde applicaties.

De aanvallers sturen e-mails naar doelwitten waarin zij zich voordoen als het IT-team van hun bedrijf en vragen hen in te loggen om hun beveiligingsinstellingen bij te werken of nieuwe beleidsregels te accepteren.

Door op de ingesloten knop te klikken, worden slachtoffers naar een phishingwebsite geleid die er precies uitziet als de echte ADFS-inlogpagina van hun organisatie.

De phishingpagina vraagt het slachtoffer om hun gebruikersnaam, wachtwoord en de MFA-code in te voeren of misleidt hen om de pushmelding goed te keuren.

"De phishingtemplates bevatten ook formulieren die zijn ontworpen om de specifieke tweede factor vast te leggen die nodig is om het account van het doelwit te authenticeren, gebaseerd op de door de organisatie geconfigureerde MFA-instellingen," aldus het rapport van Abnormal Security.

"Abnormal heeft templates waargenomen die gericht zijn op meerdere veelgebruikte MFA-mechanismen, waaronder Microsoft Authenticator, Duo Security en SMS-verificatie."

Zodra het slachtoffer alle gegevens heeft verstrekt, worden zij omgeleid naar de legitieme inlogpagina om wantrouwen te verminderen en het te laten lijken alsof het proces succesvol is afgerond.

Ondertussen maken de aanvallers onmiddellijk gebruik van de gestolen informatie om in te loggen op het account van het slachtoffer, waardevolle gegevens te stelen, nieuwe e-mailfilterregels te creëren en pogingen tot laterale phishing te ondernemen.

Abnormal zegt dat de aanvallers in deze campagne Private Internet Access VPN hebben gebruikt om hun locatie te verbergen en een IP-adres toe te wijzen met betere nabijheid tot de organisatie.

Hoewel deze phishingaanvallen ADFS niet direct schenden en eerder vertrouwen op sociale engineering, is de tactiek toch opmerkelijk vanwege de potentiële effectiviteit, gegeven het inherente vertrouwen dat veel gebruikers hebben in vertrouwde inlogwerkwijzen.

Abnormal stelt voor dat organisaties migreren naar moderne en veiligere oplossingen zoals Microsoft Entra en extra e-mailfilters en mechanismen voor het detecteren van abnormale activiteiten invoeren om phishingaanvallen vroegtijdig te stoppen.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----