Handala koristi kompromitovane Intune administratore za wiper napade
Iranski akter Handala (poznat i kao Void Manticore, COBALT MYSTIQUE i Storm-1084) sprovodi destruktivne wiper napade protiv organizacija u Izraelu i SAD. Napad počinje fišing kampanjama za krađu korisničkih kredencijala, nakon čega napadači preuzimaju administratorske naloge u Microsoft Intune okruženju i koriste legitimne administrativne komande za masovno brisanje servera i radnih stanica.
Pojašnjenje
Kompromitacija identiteta i administrativnih naloga postaje kritična tačka napada jer omogućava destruktivne operacije bez upotrebe klasičnog malvera. Kada se napadi izvode kroz legitimne cloud administrativne alate, detekcija postaje znatno teža.
Preporuke
- Ograničiti broj Intune i globalnih administratorskih naloga
- Uvesti JIT model privilegija za administratorski pristup
- Zaštititi administrativne naloge hardverskim MFA autentifikatorima
- Uvesti dvostruku administrativnu potvrdu za operacije brisanja uređaja