Estudos de caso de API de segurança do MS Graph V2
O MDR identificou um usuário com oito endereços IP diferentes, duas strings de agentes de usuário de versão do Chrome diferentes, e o Windows NT e o Macintosh como o SO nas strings de agentes de usuário, tudo na mesma sessão. Esse tipo de ação é comumente causado por um adversário na plataforma do Middle (AiTM), como Evilginx, Modlishka ou Muraena, em que as credenciais e tokens do usuário são capturados e depois reproduzidos pelo adversário a partir de um novo IP, em que o invasor faz login no M365 com o token ou credenciais.
Após uma investigação minuciosa, o MDR identificou seis outros usuários dentro do mesmo cliente que foram comprometidos, incluindo vários usuários com regras de caixa de entrada com os seguintes atributos interessantes:
MarkAsRead
: Quando este parâmetro é verdadeiro, o e-mail é marcado como Read. Os adversários usam esta tática para ajudar a esconder o comprometimento.Name
: O nome dado à regra da caixa de entrada. Nesse caso, o adversário usou o nome "s". Os adversários normalmente usam nomes curtos para chamar menos atenção para a regra da caixa de entrada.SubjectOrBodyContainsWords
: Os adversários podem usar o atributoSubjectOrBodyContainsWords
para filtrar e-mails por palavras-chave. Neste caso, o adversário filtrou por palavras-chave e depois moveu os e-mails correspondentes.DeleteMessage
: QuandoDeleteMessage
é verdadeiro, o e-mail é deletado e o usuário final não fica ciente de que o e-mail existe.
Juntando todos esses atributos, podemos ver que quando o usuário recebe um e-mail em que o assunto ou corpo contém "hackeado", "phishing", "malicioso", "suspeito", "fraude", "MFA", ou "spoof", o e-mail é marcado como lido e, em seguida, deletado. Isso oculta do usuário final o fato de que ele pode estar comprometido.