Техники: T1552 , T1552.001 , T1552.002 , T1552.003 , T1552.004 , T1552.005 , T1552.006 , T1552.007 , T1552.008
Злоумышленники могут напрямую собирать незащищенные учетные данные, хранящиеся или передаваемые через коммуникационные службы пользователей. Учетные данные могут передаваться и храниться в приложениях для общения пользователей, таких как электронная почта, чат-сервисы, например Slack или Teams, инструменты для совместной работы, например Jira или Trello, и любые другие сервисы, поддерживающие общение пользователей. Пользователи могут обмениваться различными формами учетных данных (например, именами пользователей и паролями, ключами API или маркерами аутентификации) в частных или публичных корпоративных внутренних каналах связи.
Вместо доступа к сохраненным журналам чата (т. е. Credentials In Files) злоумышленники могут получить прямой доступ к учетным данным в этих службах на конечной точке пользователя, через серверы, на которых размещены службы, или через порталы администраторов для облачных служб. Злоумышленники также могут скомпрометировать инструменты интеграции, такие как Slack Workflows, для автоматического поиска сообщений с целью извлечения учетных данных пользователя.Затем эти учетные данные могут быть использованы для выполнения последующих действий, таких как боковое перемещение или повышение привилегий (цит. по: Slack Security Risks).
https://attack.mitre.org/techniques/T1552/008
Визуализация смежных техник для T1552.008
| № | Техника |
|---|
