Overslaan naar inhoud
Nederlands
Neem contact met ons op
  • Er zijn geen suggesties want het zoekveld is leeg.

AITM-aanval gedetecteerd via bekend phishing-IP (didsomeoneclone.me) [RULE-1144]

Deze regel detecteert Adversary-in-the-Middle (AITM) phishing-aanvallen gericht op uw Entra ID-accounts. De regel wordt geactiveerd wanneer een succesvolle aanmelding wordt geregistreerd vanaf een IP-adres dat door de threat intelligence-dienst didsomeoneclone.me is geclassificeerd als een bekend AITM phishing IP-adres.

Rationale

AITM phishing is een van de gevaarlijkste moderne aanvalstechnieken, omdat deze multi-factor authentication (MFA) omzeilt. Bij een AITM-aanval wordt een reverse proxy server geplaatst tussen het slachtoffer en de legitieme Microsoft-aanmeldpagina. Wanneer een gebruiker zijn credentials invoert op de phishingpagina, stuurt de proxy deze in real time door naar Microsoft, voltooit de MFA-challenge en onderschept het resulterende session token. De aanvaller kan dit gestolen session token vervolgens hergebruiken om volledige toegang tot het account te verkrijgen, zonder opnieuw het wachtwoord of MFA nodig te hebben.

De dienst didsomeoneclone.me onderhoudt een continu bijgewerkte database van IP-adressen waarvan is waargenomen dat ze AITM phishing-infrastructuur hosten. Van deze IP-adressen is bevestigd dat ze eerder phishing-panelen hebben gehost die zijn ontworpen om credentials en session tokens te onderscheppen. Een succesvolle aanmelding vanaf een dergelijk IP-adres is een betrouwbare indicator dat het account het doelwit is geweest van een AITM phishing-aanval.

Deze detectie is gekoppeld aan MITRE ATT&CK-technieken T1557 (Adversary-in-the-Middle) en T1539 (Steal Web Session Cookie). Omdat de IP-adressen in deze feed onafhankelijk zijn geverifieerd als kwaadaardig, heeft deze detectie een hoge betrouwbaarheid. Onmiddellijk handelen wordt aanbevolen, aangezien aanvallers doorgaans snel overgaan tot het verkrijgen van persistentie, het exfiltreren van gegevens of het lanceren van verdere aanvallen na het verkrijgen van een session token.

Opvolging

Voer deze stappen uit om deze detectie adequaat op te volgen:

  1. Controleer of de aanmeldactiviteit is uitgevoerd door de legitieme eigenaar van het account. Neem contact op met de gebruiker om te bevestigen of deze de inlogpoging herkent en of deze recentelijk op verdachte links heeft geklikt.

    • Zo nee: De aanmelding is vrijwel zeker het gevolg van een AITM phishing-aanval, aangezien het IP-adres een bekende phishing proxy betreft. Neem onmiddellijk de volgende stappen:

      1. Blokkeer het getroffen account in Microsoft Entra ID om verdere ongeautoriseerde toegang te voorkomen.
      2. Vernieuw alle actieve sessies van de gebruiker via https://entra.microsoft.com om het gestolen session token ongeldig te maken.
      3. Stel het wachtwoord van de gebruiker opnieuw in en controleer de geregistreerde authenticatiemethoden op nieuw toegevoegde methoden die mogelijk door de aanvaller zijn geregistreerd.
      4. Onderzoek de accountactiviteit sinds het moment van de verdachte aanmelding met behulp van het Unified Audit Log op https://security.microsoft.com/auditlogsearch. Let op nieuw aangemaakte inbox rules, application consent grants, wijzigingen in e-mail forwarding of laterale phishing-activiteit. Als de omvang van het incident onduidelijk is, overweeg dan om het Attic IR-team in te schakelen voor verder onderzoek. Hiervoor is een IR Credit Pack vereist.

    • Zo ja: De gebruiker bevestigt dat deze de aanmelding heeft uitgevoerd:

      1. Onderzoek waarom het verkeer van de gebruiker via een bekend phishing IP-adres is gerouteerd. Dit kan wijzen op een gecompromitteerd netwerk, een kwaadaardige browser extension of een man-in-the-browser-aanval. Behandel deze situatie met voorzichtigheid.
      2. Als na grondig onderzoek de activiteit kan worden verklaard door legitieme omstandigheden, sluit het incident af en documenteer de bevindingen.

Meer informatie