Microsoft 365: Phishing επιθέσεις καταχρώνται το ‘Direct Send’
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Microsoft 365: Phishing επιθέσεις καταχρώνται το 'Direct Send'
https://www.secnews.gr/652189/microsoft-365-phishing-epitheseis-kataxrontai-direct-send/
Jun 26th 2025, 17:03
by Digital Fortress
Μια νέα, εξελιγμένη phishing καμπάνια φέρνει ξανά στο προσκήνιο τα τρωτά σημεία του Microsoft 365, με τους κυβερνοεγκληματίες να αξιοποιούν τη λιγότερο γνωστή λειτουργία "Direct Send" για να παρακάμψουν συστήματα ασφαλείας και να υποκλέψουν διαπιστευτήρια.
Το "Direct Send" επιτρέπει σε on‑premises συσκευές, εφαρμογές ή cloud υπηρεσίες, να στέλνουν emails μέσω του smart host ενός tenant, σαν να προέρχονται από το domain του οργανισμού. Έχει σχεδιαστεί για χρήση από εκτυπωτές, σαρωτές και άλλες συσκευές που πρέπει να στέλνουν μηνύματα εκ μέρους της εταιρείας. Αν και χρήσιμο σε ελεγχόμενα περιβάλλοντα, η έλλειψη μηχανισμών ασφαλείας το καθιστά εξαιρετικά ελκυστικό για κακόβουλη χρήση, αφού επιτρέπει την αποστολή email που εμφανίζονται ως "εσωτερικά". Δεν απαιτεί έλεγχο ταυτότητας, επιτρέποντας σε απομακρυσμένους χρήστες να στέλνουν ηλεκτρονικά μηνύματα που μοιάζουν με εσωτερικά μηνύματα από το domain της εταιρείας.
Δείτε επίσης: Trezor: Phishing επίθεση καταχράται το σύστημα υποστήριξης πελατών
Σύμφωνα με τη Microsoft, η λειτουργία θα πρέπει να χρησιμοποιείται αποκλειστικά από έμπειρους διαχειριστές που έχουν πλήρη επίγνωση των σχετικών ρυθμίσεων και κινδύνων. Όπως σημειώνει η εταιρεία, το Direct Send είναι ασφαλές όταν το Microsoft 365 έχει ρυθμιστεί σωστά και το smart host έχει κλειδωθεί κατάλληλα.
«Συνιστούμε το Direct Send μόνο σε έμπειρους πελάτες που είναι πρόθυμοι να αναλάβουν τις ευθύνες των email server admins», εξηγεί η Microsoft.
Παράλληλα, η Microsoft έχει ήδη κοινοποιήσει οδηγίες για την απενεργοποίηση της λειτουργίας, ενώ εξετάζει την πλήρη απόσυρσή της από την πλατφόρμα Microsoft 365 στο μέλλον.
Καμπάνια phishing εκμεταλλεύεται το Direct Send: Στόχος κρίσιμοι τομείς των ΗΠΑ
Η συγκεκριμένη phishing καμπάνια εντοπίστηκε από την ομάδα Varonis Managed Data Detection and Response (MDDR), η οποία αναφέρει ότι περισσότεροι από 70 οργανισμοί έχουν στοχοποιηθεί από τον Μάιο του 2025. Το 95% των θυμάτων βρίσκονται στις Ηνωμένες Πολιτείες, κυρίως στους τομείς των Χρηματοοικονομικών Υπηρεσιών, των Κατασκευών, της Μηχανικής, της Υγειονομικής Περίθαλψης, της Βιομηχανίας και των Ασφαλίσεων.
PowerShell + Direct Send: Ο τέλειος μηχανισμός απόκρυψης
Οι επιθέσεις εκτελούνται μέσω PowerShell scripts, τα οποία χρησιμοποιούν τον smart host της εταιρείας – στόχου (π.χ. company-com.mail.protection.outlook.com) για να στείλουν email που μοιάζουν με εσωτερικά μηνύματα.
Η τεχνική αυτή καθιστά τις επιθέσεις ιδιαίτερα επικίνδυνες, καθώς επιτρέπει στους επιτιθέμενους να παρακάμπτουν τους περισσότερους σύγχρονους μηχανισμούς φιλτραρίσματος.
Ένα παράδειγμα εντολής PowerShell που μπορεί να στείλει email μέσω της λειτουργίας Direct Send του Microsoft 365 είναι:
Send‑MailMessage -SmtpServer company‑com.mail.protection.outlook.com -To joe@company.com -From joe@company.com -Subject "New Missed Fax‑msg" -Body "You have received a call! Click on the link to listen to it. Listen Now" -BodyAsHtml
Αυτή η μέθοδος είναι αποτελεσματική, επειδή η χρήση του Direct Send με το smart host δεν απαιτεί έλεγχο ταυτότητας και αντιμετωπίζει τον αποστολέα ως εσωτερικό, επιτρέποντας στους απειλητικούς παράγοντες να παρακάμπτουν τους SPF, DKIM, DMARC rules και άλλους κανόνες φιλτραρίσματος.
Τα μηνύματα phishing εμφανίζονται ως δήθεν ειδοποιήσεις φωνητικών μηνυμάτων ή φαξ, με θέματα όπως «Caller Left VM Message». Τα επισυναπτόμενα PDF φέρουν τίτλους όπως «Fax Message», «Play_VM-Now» ή «Listen», παρασύροντας τους χρήστες σε phishing σελίδες με στόχο την υποκλοπή στοιχείων πρόσβασης.
Phishing μέσω QR code
Αντί για τους συνηθισμένους συνδέσμους σε κακόβουλες σελίδες, τα επισυναπτόμενα PDF αρχεία περιέχουν QR codes, τους οποίους καλούνται να σαρώσουν οι χρήστες, με την κάμερα του κινητού τους, δήθεν για να ακούσουν ένα φωνητικό μήνυμα. Η παρουσία λογότυπου της εκάστοτε εταιρείας κάνει το περιεχόμενο να φαίνεται αυθεντικό, αυξάνοντας τις πιθανότητες επιτυχούς εξαπάτησης. Μόλις ο χρήστης σαρώσει τον κωδικό, μεταφέρεται σε μια ψεύτικη σελίδα σύνδεσης Microsoft 365, σχεδιασμένη να αποσπά τα credentials του.
Η Varonis έδωσε στη δημοσιότητα σχετικούς δείκτες παραβίασης (Indicators of Compromise – IOCs), συμπεριλαμβάνοντας domain names που αξιοποιούνται στην καμπάνια.
Δείτε επίσης: Νέα επίθεση ηλεκτρονικού phishing TxTag στοχεύει το domain .gov
Αντιμετώπιση του Direct Send phishing – Τι προτείνουν οι ειδικοί
Για να περιοριστεί η απειλή, οι ερευνητές προτείνουν την ενεργοποίηση του Reject Direct Send στο Exchange Admin Center. Η επιλογή αυτή επιτρέπει στους διαχειριστές να μπλοκάρουν πλήρως email που έρχονται μέσω του μηχανισμού Direct Send — ιδίως αν αυτός δεν είναι απαραίτητος για τη λειτουργία του οργανισμού.
Η Varonis επιπλέον προτείνει:
• ενεργοποίηση αυστηρής πολιτικής DMARC (π.χ. p=reject)
• καραντίνα ή επισήμανση ύποπτων εσωτερικών email
• επιβολή "SPF hardfail" στο Exchange Online Protection
• ενεργοποίηση Anti-Spoofing πολιτικών
• εκπαίδευση προσωπικού για αναγνώριση επιθέσεων QR phishing
Μην υποθέτετε ότι τα εσωτερικά email είναι ασφαλή
«Το Direct Send μπορεί να είναι χρήσιμο, αλλά στα λάθος χέρια μετατρέπεται σε ισχυρό όπλο κυβερνοεπίθεσης», προειδοποιεί η Varonis. Η εταιρεία υπογραμμίζει την ανάγκη για συνεχή επιτήρηση και ενημέρωση των πολιτικών ασφάλειας email.
«Εάν δεν παρακολουθείτε ενεργά spoofed εσωτερικά email ή δεν έχετε ενεργοποιήσει τις κατάλληλες προστασίες, τώρα είναι η ώρα να το κάνετε. Μην υποθέτετε ότι τα εσωτερικά μέσα είναι ασφαλή».
Η κατάχρηση της λειτουργίας "Direct Send" του Microsoft 365 επιβεβαιώνει ότι ακόμη και οι φαινομενικά αθώες δυνατότητες μπορούν να μετατραπούν σε εργαλεία επίθεσης, εφόσον δεν ελέγχονται αυστηρά.
Δείτε επίσης: Microsoft Outlook: Μπλοκάρει κι άλλους τύπους αρχείων για αποτροπή phishing
Η παραπάνω απειλή είναι ιδιαίτερα ανησυχητική για πολλούς λόγους – όχι μόνο λόγω της τεχνικής της πολυπλοκότητας, αλλά κυρίως επειδή εκμεταλλεύεται τον ανθρώπινο παράγοντα, δηλαδή την περιέργεια και την εμπιστοσύνη του χρήστη σε «εσωτερικά» μηνύματα. Τα emails φαίνονται να προέρχονται από τη δική σου εταιρεία, κάτι που αυξάνει τις πιθανότητες να ανοιχτούν ή να αγνοηθούν από τα φίλτρα. Αυτή η "εσωτερική" προέλευση είναι αυτό που καθιστά την απειλή τόσο ύπουλη.
Η συγκεκριμένη απειλή είναι χαρακτηριστικό παράδειγμα του πώς οι κυβερνοεγκληματίες δεν χρειάζεται να "σπάσουν" συστήματα – απλώς να τα χρησιμοποιήσουν όπως έχουν σχεδιαστεί, με λίγο παραπάνω πονηριά. Οι οργανισμοί που δεν παρακολουθούν ενεργά τις "χαραμάδες" στην email υποδομή τους κινδυνεύουν να πέσουν θύματα επιθέσεων χωρίς καν να το αντιληφθούν.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Microsoft 365: Phishing επιθέσεις καταχρώνται το 'Direct Send'
https://www.secnews.gr/652189/microsoft-365-phishing-epitheseis-kataxrontai-direct-send/
Jun 26th 2025, 17:03
by Digital Fortress
Μια νέα, εξελιγμένη phishing καμπάνια φέρνει ξανά στο προσκήνιο τα τρωτά σημεία του Microsoft 365, με τους κυβερνοεγκληματίες να αξιοποιούν τη λιγότερο γνωστή λειτουργία "Direct Send" για να παρακάμψουν συστήματα ασφαλείας και να υποκλέψουν διαπιστευτήρια.
Το "Direct Send" επιτρέπει σε on‑premises συσκευές, εφαρμογές ή cloud υπηρεσίες, να στέλνουν emails μέσω του smart host ενός tenant, σαν να προέρχονται από το domain του οργανισμού. Έχει σχεδιαστεί για χρήση από εκτυπωτές, σαρωτές και άλλες συσκευές που πρέπει να στέλνουν μηνύματα εκ μέρους της εταιρείας. Αν και χρήσιμο σε ελεγχόμενα περιβάλλοντα, η έλλειψη μηχανισμών ασφαλείας το καθιστά εξαιρετικά ελκυστικό για κακόβουλη χρήση, αφού επιτρέπει την αποστολή email που εμφανίζονται ως "εσωτερικά". Δεν απαιτεί έλεγχο ταυτότητας, επιτρέποντας σε απομακρυσμένους χρήστες να στέλνουν ηλεκτρονικά μηνύματα που μοιάζουν με εσωτερικά μηνύματα από το domain της εταιρείας.
Δείτε επίσης: Trezor: Phishing επίθεση καταχράται το σύστημα υποστήριξης πελατών
Σύμφωνα με τη Microsoft, η λειτουργία θα πρέπει να χρησιμοποιείται αποκλειστικά από έμπειρους διαχειριστές που έχουν πλήρη επίγνωση των σχετικών ρυθμίσεων και κινδύνων. Όπως σημειώνει η εταιρεία, το Direct Send είναι ασφαλές όταν το Microsoft 365 έχει ρυθμιστεί σωστά και το smart host έχει κλειδωθεί κατάλληλα.
«Συνιστούμε το Direct Send μόνο σε έμπειρους πελάτες που είναι πρόθυμοι να αναλάβουν τις ευθύνες των email server admins», εξηγεί η Microsoft.
Παράλληλα, η Microsoft έχει ήδη κοινοποιήσει οδηγίες για την απενεργοποίηση της λειτουργίας, ενώ εξετάζει την πλήρη απόσυρσή της από την πλατφόρμα Microsoft 365 στο μέλλον.
Καμπάνια phishing εκμεταλλεύεται το Direct Send: Στόχος κρίσιμοι τομείς των ΗΠΑ
Η συγκεκριμένη phishing καμπάνια εντοπίστηκε από την ομάδα Varonis Managed Data Detection and Response (MDDR), η οποία αναφέρει ότι περισσότεροι από 70 οργανισμοί έχουν στοχοποιηθεί από τον Μάιο του 2025. Το 95% των θυμάτων βρίσκονται στις Ηνωμένες Πολιτείες, κυρίως στους τομείς των Χρηματοοικονομικών Υπηρεσιών, των Κατασκευών, της Μηχανικής, της Υγειονομικής Περίθαλψης, της Βιομηχανίας και των Ασφαλίσεων.
PowerShell + Direct Send: Ο τέλειος μηχανισμός απόκρυψης
Οι επιθέσεις εκτελούνται μέσω PowerShell scripts, τα οποία χρησιμοποιούν τον smart host της εταιρείας – στόχου (π.χ. company-com.mail.protection.outlook.com) για να στείλουν email που μοιάζουν με εσωτερικά μηνύματα.
Η τεχνική αυτή καθιστά τις επιθέσεις ιδιαίτερα επικίνδυνες, καθώς επιτρέπει στους επιτιθέμενους να παρακάμπτουν τους περισσότερους σύγχρονους μηχανισμούς φιλτραρίσματος.
Ένα παράδειγμα εντολής PowerShell που μπορεί να στείλει email μέσω της λειτουργίας Direct Send του Microsoft 365 είναι:
Send‑MailMessage -SmtpServer company‑com.mail.protection.outlook.com -To joe@company.com -From joe@company.com -Subject "New Missed Fax‑msg" -Body "You have received a call! Click on the link to listen to it. Listen Now" -BodyAsHtml
Αυτή η μέθοδος είναι αποτελεσματική, επειδή η χρήση του Direct Send με το smart host δεν απαιτεί έλεγχο ταυτότητας και αντιμετωπίζει τον αποστολέα ως εσωτερικό, επιτρέποντας στους απειλητικούς παράγοντες να παρακάμπτουν τους SPF, DKIM, DMARC rules και άλλους κανόνες φιλτραρίσματος.
Τα μηνύματα phishing εμφανίζονται ως δήθεν ειδοποιήσεις φωνητικών μηνυμάτων ή φαξ, με θέματα όπως «Caller Left VM Message». Τα επισυναπτόμενα PDF φέρουν τίτλους όπως «Fax Message», «Play_VM-Now» ή «Listen», παρασύροντας τους χρήστες σε phishing σελίδες με στόχο την υποκλοπή στοιχείων πρόσβασης.
Phishing μέσω QR code
Αντί για τους συνηθισμένους συνδέσμους σε κακόβουλες σελίδες, τα επισυναπτόμενα PDF αρχεία περιέχουν QR codes, τους οποίους καλούνται να σαρώσουν οι χρήστες, με την κάμερα του κινητού τους, δήθεν για να ακούσουν ένα φωνητικό μήνυμα. Η παρουσία λογότυπου της εκάστοτε εταιρείας κάνει το περιεχόμενο να φαίνεται αυθεντικό, αυξάνοντας τις πιθανότητες επιτυχούς εξαπάτησης. Μόλις ο χρήστης σαρώσει τον κωδικό, μεταφέρεται σε μια ψεύτικη σελίδα σύνδεσης Microsoft 365, σχεδιασμένη να αποσπά τα credentials του.
Η Varonis έδωσε στη δημοσιότητα σχετικούς δείκτες παραβίασης (Indicators of Compromise – IOCs), συμπεριλαμβάνοντας domain names που αξιοποιούνται στην καμπάνια.
Δείτε επίσης: Νέα επίθεση ηλεκτρονικού phishing TxTag στοχεύει το domain .gov
Αντιμετώπιση του Direct Send phishing – Τι προτείνουν οι ειδικοί
Για να περιοριστεί η απειλή, οι ερευνητές προτείνουν την ενεργοποίηση του Reject Direct Send στο Exchange Admin Center. Η επιλογή αυτή επιτρέπει στους διαχειριστές να μπλοκάρουν πλήρως email που έρχονται μέσω του μηχανισμού Direct Send — ιδίως αν αυτός δεν είναι απαραίτητος για τη λειτουργία του οργανισμού.
Η Varonis επιπλέον προτείνει:
• ενεργοποίηση αυστηρής πολιτικής DMARC (π.χ. p=reject)
• καραντίνα ή επισήμανση ύποπτων εσωτερικών email
• επιβολή "SPF hardfail" στο Exchange Online Protection
• ενεργοποίηση Anti-Spoofing πολιτικών
• εκπαίδευση προσωπικού για αναγνώριση επιθέσεων QR phishing
Μην υποθέτετε ότι τα εσωτερικά email είναι ασφαλή
«Το Direct Send μπορεί να είναι χρήσιμο, αλλά στα λάθος χέρια μετατρέπεται σε ισχυρό όπλο κυβερνοεπίθεσης», προειδοποιεί η Varonis. Η εταιρεία υπογραμμίζει την ανάγκη για συνεχή επιτήρηση και ενημέρωση των πολιτικών ασφάλειας email.
«Εάν δεν παρακολουθείτε ενεργά spoofed εσωτερικά email ή δεν έχετε ενεργοποιήσει τις κατάλληλες προστασίες, τώρα είναι η ώρα να το κάνετε. Μην υποθέτετε ότι τα εσωτερικά μέσα είναι ασφαλή».
Η κατάχρηση της λειτουργίας "Direct Send" του Microsoft 365 επιβεβαιώνει ότι ακόμη και οι φαινομενικά αθώες δυνατότητες μπορούν να μετατραπούν σε εργαλεία επίθεσης, εφόσον δεν ελέγχονται αυστηρά.
Δείτε επίσης: Microsoft Outlook: Μπλοκάρει κι άλλους τύπους αρχείων για αποτροπή phishing
Η παραπάνω απειλή είναι ιδιαίτερα ανησυχητική για πολλούς λόγους – όχι μόνο λόγω της τεχνικής της πολυπλοκότητας, αλλά κυρίως επειδή εκμεταλλεύεται τον ανθρώπινο παράγοντα, δηλαδή την περιέργεια και την εμπιστοσύνη του χρήστη σε «εσωτερικά» μηνύματα. Τα emails φαίνονται να προέρχονται από τη δική σου εταιρεία, κάτι που αυξάνει τις πιθανότητες να ανοιχτούν ή να αγνοηθούν από τα φίλτρα. Αυτή η "εσωτερική" προέλευση είναι αυτό που καθιστά την απειλή τόσο ύπουλη.
Η συγκεκριμένη απειλή είναι χαρακτηριστικό παράδειγμα του πώς οι κυβερνοεγκληματίες δεν χρειάζεται να "σπάσουν" συστήματα – απλώς να τα χρησιμοποιήσουν όπως έχουν σχεδιαστεί, με λίγο παραπάνω πονηριά. Οι οργανισμοί που δεν παρακολουθούν ενεργά τις "χαραμάδες" στην email υποδομή τους κινδυνεύουν να πέσουν θύματα επιθέσεων χωρίς καν να το αντιληφθούν.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz