A Defender for Office 365 a magas kockázatú iparágakban működő és kifinomult támadásokkal foglalkozó szervezeteket védi az e-mailekből, linkekből származó rosszindulatú fenyegetésektől. A Defender korábban Office 365 Advanced Threat Protection – vagyis Office 365 ATP – néven volt ismert.
Automatikus bombing-észlelés
Az új észlelési képesség segít megvédeni a szervezeteket az e-mail bombázás néven ismert, egyre növekvő fenyegetéstől – közölte a redmondi cég a frissítés kapcsán.
A visszaéléseknek ez a formája nagy mennyiségű e-maillel árasztja el a postafiókokat. A céljuk általában az, hogy elnyomják a fontos üzeneteket vagy túlterheljék a rendszereket.
Az új “mail bombing” észlelő automatikusan azonosítja és blokkolja ezeket a támadásokat, segítve a biztonsági csapatokat abban, hogy a valós fenyegetésekkel szemben is átláthatók maradjanak.
Már elérhető a frissítés
Az új funkció bevezetése 2025 június végén kezdődött, és várhatóan július végére minden szervezetet elér majd – írta a BleepingComputer.
A funkció alapértelmezve be lesz kapcsolva, nem igényel manuális konfigurációt. A Defender emellett a levélbombázó kampányként azonosított összes üzenetet automatikusan a spam-mappába küldi.
A Microsoft tájékoztatása szerint a funkció már elérhető a biztonsági műveleti elemzők és rendszergazdák számára.
Hogy zajlik a levélbombázás?
Az ilyen támadások során a fenyegető szereplők percek alatt több ezer vagy több tízezer üzenettel árasztják el célpontjaik e-mail postaládáját. Akár úgy, hogy nagyszámú hírlevélre iratkoznak fel, akár olyan dedikált kiberbűnözési szolgáltatásokat használnak, amelyek hatalmas mennyiségű e-mailt tudnak küldeni.
A legtöbb esetben a támadók végső célja az e-mail biztonsági rendszerek túlterhelése a social engineering rendszerek részeként. Ez általában utat nyit a malware vagy zsarolóvírus támadások előtt, amelyek segítségével érzékeny adatok szivároghatnak ki az áldozatok veszélyeztetett rendszereiből.
Az e-mail bombázást már több mint egy éve alkalmazzák különböző kiberbűnözői és zsarolóvírusos csoportok támadásaiban.
A támadás a BlackBasta bandával kezdődött, amely ezt a taktikát arra használta, hogy a támadások indítása előtt perceken belül e-mailekkel töltse meg áldozatai postafiókját.
A bomba még csak a kezdet
Mindezt hangalapú adathalász hideghívások követték. A támadók az informatikai stáb tagjainak adták ki magukat: a túlterhelt alkalmazottakat arra akarták rávenni, hogy az AnyDesk vagy a beépített Windows Quick Assist eszköz segítségével engedélyezzék a távoli hozzáférést az eszközeikhez.
Miután beszivárogtak a rendszerekbe, a támadók különböző rosszindulatú eszközöket és program-implantátumokat telepítettek. Ezek lehetővé tették számukra, hogy a vállalati hálózatokon keresztül oldalirányban mozogjanak, mielőtt zsarolóprogramokat telepítettek volna.
A közelmúltban az e-mail bombázást a 3AM ransomware társszervezete és a FIN7 csoporthoz kapcsolódó kiberbűnözők is átvették. Ők az informatikai támogatást is meghamisították a social engineering támadások során, hogy rávegyék az alkalmazottakat a vállalati rendszerekhez való távoli hozzáféréshez szükséges hitelesítő adatok átadására.
(Kép: Unsplash/Hannes Johnson)
