AITM-aanval gedetecteerd via Amazon Web Services-infrastructuur [RULE-1146]

Rationale

AITM phishing is een van de gevaarlijkste moderne aanvalstechnieken, omdat deze multi-factor authentication (MFA) omzeilt. Bij een AITM-aanval wordt een reverse proxy server geplaatst tussen het slachtoffer en de legitieme Microsoft-aanmeldpagina. Wanneer een gebruiker zijn credentials invoert op de phishingpagina, stuurt de proxy deze in real time door naar Microsoft, voltooit de MFA-challenge en onderschept het resulterende session token. De aanvaller kan dit gestolen session token vervolgens hergebruiken om volledige toegang tot het account te verkrijgen, zonder opnieuw het wachtwoord of MFA nodig te hebben.

Amazon Web Services is een groot cloud computing-platform dat virtual servers, hosting en andere infrastructuurdiensten biedt. Aanvallers misbruiken regelmatig AWS om AITM phishing-panelen te hosten, omdat AWS-infrastructuur wijdverbreid wordt gebruikt, waardoor verkeer vanuit deze IP-ranges routinematig lijkt. De schaalbaarheid en het wereldwijde bereik van AWS stellen aanvallers in staat om snel phishing-infrastructuur dicht bij hun doelwitten in te richten en deze na gebruik snel te verwijderen, waardoor forensisch onderzoek bemoeilijkt wordt.

Deze detectie is gekoppeld aan MITRE ATT&CK-technieken T1557 (Adversary-in-the-Middle) en T1539 (Steal Web Session Cookie). Een succesvolle aanmelding vanaf een Amazon IP-adres, wanneer de accounteigenaar de aanmelding niet heeft geinitieerd, is een sterke indicatie dat het account is gecompromitteerd via een AITM phishing-aanval. Onmiddellijk onderzoek en inperking worden aanbevolen.

Opvolging

Voer deze stappen uit om deze detectie adequaat op te volgen:

1. Controleer of de aanmeldactiviteit is uitgevoerd door de legitieme eigenaar van het account. Neem contact op met de gebruiker om te bevestigen of deze de inlogpoging herkent en of deze recentelijk op verdachte links heeft geklikt.

   • Zo nee: De aanmelding is waarschijnlijk het gevolg van een AITM phishing-aanval. Neem onmiddellijk de volgende stappen:

     1. Blokkeer het getroffen account in Microsoft Entra ID om verdere ongeautoriseerde toegang te voorkomen.
     2. Vernieuw alle actieve sessies van de gebruiker via https://entra.microsoft.com om het gestolen session token ongeldig te maken.
     3. Stel het wachtwoord van de gebruiker opnieuw in en controleer de geregistreerde authenticatiemethoden op nieuw toegevoegde methoden die mogelijk door de aanvaller zijn geregistreerd.
     4. Onderzoek de accountactiviteit sinds het moment van de verdachte aanmelding met behulp van het Unified Audit Log op https://security.microsoft.com/auditlogsearch. Let op nieuw aangemaakte inbox rules, application consent grants, wijzigingen in e-mail forwarding of laterale phishing-activiteit. Als de omvang van het incident onduidelijk is, overweeg dan om het Attic IR-team in te schakelen voor verder onderzoek. Hiervoor is een IR Credit Pack vereist.

   • Zo ja: De gebruiker bevestigt dat deze de aanmelding heeft uitgevoerd, mogelijk via een legitieme service die op AWS wordt gehost:

     1. Controleer of de organisatie AWS-gehoste applicaties of services gebruikt die ervoor kunnen zorgen dat aanmeldingen afkomstig zijn van Amazon IP-adressen, zoals VPN-oplossingen of webapplicaties die draaien op AWS-infrastructuur.
     2. Als de activiteit is bevestigd als legitiem en verwacht, sluit het incident af. Overweeg de bekende AWS-gebaseerde services te documenteren om toekomstige false positives te voorkomen.

Meer informatie

• Microsoft-documentatie over AITM phishing
• MITRE ATT&CK T1557 - Adversary-in-the-Middle
• MITRE ATT&CK T1539 - Steal Web Session Cookie
• Microsoft Entra ID Protection