這個大型勒索軟件組織已經(jīng)成功地對一家公司的SharePoint Online環(huán)境進行了勒索攻擊，而不需要使用一個受損的端點，這就是這些攻擊通常的展開方式。

相反，該威脅組織似乎使用了一個安全保護較弱的管理員帳戶滲透到該未具名公司的環(huán)境中，提升權(quán)限，并最終從受害者的SharePoint庫中竊取敏感數(shù)據(jù)。這些數(shù)據(jù)被用來勒索受害者支付贖金。

發(fā)現(xiàn)這次攻擊的安全公司Obsidian的聯(lián)合創(chuàng)始人兼首席運營官格倫?奇澤姆(Glenn Chisholm)表示，這次攻擊值得關(guān)注，因為大多數(shù)企業(yè)應(yīng)對勒索軟件威脅的努力往往集中在端點保護機制上。

奇澤姆說:“公司一直試圖完全通過終端安全投資來防止或減輕勒索軟件組織的攻擊。這次攻擊表明，端點安全是不夠的，因為許多公司現(xiàn)在都在SaaS應(yīng)用程序中存儲和訪問數(shù)據(jù)。”

Obsidian觀察到的攻擊始于一個0mega組織參與者獲得了一個屬于受害者組織的微軟全球管理員的安全保障較差的服務(wù)帳戶憑證。被入侵的帳戶不僅可以從公共互聯(lián)網(wǎng)訪問，而且沒有啟用多因素身份驗證(MFA)。大多數(shù)安全專家都認為這是基本的安全必需品，尤其是對于特權(quán)帳戶。

攻擊者利用被入侵的賬戶創(chuàng)建了一個名為0mega的活動目錄用戶，然后授予這個新賬戶在環(huán)境中制造破壞所需的所有權(quán)限。這些權(quán)限包括全局管理員、SharePoint管理員、Exchange管理員和Teams管理員的權(quán)限。

此外，攻擊者還使用被泄露的管理員憑證授予0mega帳戶在組織的SharePoint Online環(huán)境中具有所謂的站點收集管理員權(quán)限，并刪除所有其他現(xiàn)有管理員。

在sharepoint中，站點集合是Web應(yīng)用程序中的一組網(wǎng)站，它們共享管理設(shè)置并具有相同的所有者。站點集合在具有多個業(yè)務(wù)功能和部門的大型組織中更常見，或者在具有非常大的數(shù)據(jù)集的組織中更常見。

在Obsidian分析的攻擊中，有2000萬個攻擊者使用受損的管理員憑證在兩小時內(nèi)刪除了大約200個管理員帳戶。

有了自己分配的權(quán)限，攻擊者從組織的SharePoint Online庫中獲取了數(shù)百個文件，并將它們發(fā)送到與一家網(wǎng)絡(luò)托管公司相關(guān)的虛擬專用服務(wù)器(VPS)主機上。

為了便于泄露，攻擊者使用了一個名為sppull的公開可用的Node.js模塊，該模塊允許開發(fā)人員使用HTTP請求與SharePoint資源進行交互。正如其維護者對該模塊的描述，sppull是一個從SharePoint拉取和下載文件的簡單客戶端。

一旦泄露完成，攻擊者使用另一個名為get的node.js模塊將數(shù)千個文本文件上傳到受害者的SharePoint環(huán)境中，這些文件基本上通知了組織剛剛發(fā)生的事情。