Několik cloudových tenantů, kteří hostují servery Microsoft Exchange, bylo napadeno zlomyslnými aktéry, kteří používají aplikace OAuth k šíření spamu.
Servery Microsoft Exchange používané k šíření spamu
Dne 23. září 2022 bylo uvedeno v a Příspěvek na blogu Microsoft Security že útočník „aktér hrozby zahájil útoky na cpání pověření proti vysoce rizikovým účtům, které neměly vícefaktorové ověřování (MFA) povolil a využil nezabezpečené administrátorské účty k získání počátečního přístupu“.
Přístupem ke cloudovému tenantovi se útočníkovi podařilo zaregistrovat falešnou aplikaci OAuth se zvýšenými oprávněními. Útočník poté přidal škodlivý příchozí konektor na server a také pravidla přenosu, která jim umožnila šířit spam prostřednictvím cílových domén a přitom se vyhnout detekci. Mezi jednotlivými kampaněmi byly také odstraněny příchozí konektor a pravidla přepravy, aby útočník mohl proletět pod radarem.
K provedení tohoto útoku mohl aktér hrozby využít vysoce rizikové účty, které nepoužívaly vícefaktorové ověřování. Tento spam byl součástí schématu používaného k oklamání obětí, aby se přihlásily k dlouhodobým odběrům.
OAuth Authentication Protocol stále častěji používaný v útocích
Ve výše uvedeném příspěvku na blogu Microsoft také uvedl, že „monitoruje rostoucí popularitu zneužívání aplikací OAuth“. OAuth je protokol který se používá k udělení souhlasu s webovými stránkami nebo aplikacemi, aniž byste museli prozradit své heslo. Ale tento protokol byl několikrát zneužit hrozbou ke krádeži dat a finančních prostředků.
Dříve útočníci používali škodlivou aplikaci OAuth při podvodu známém jako „phishing se souhlasem“. To zahrnovalo oklamání obětí, aby udělily určitá oprávnění škodlivým aplikacím OAuth. Díky tomu mohl útočník získat přístup ke cloudovým službám obětí. V posledních letech stále více kyberzločinců používá škodlivé aplikace OAuth k podvodům uživatelů, někdy k provádění phishingu a někdy k jiným účelům, jako jsou zadní vrátka a přesměrování.
Herec za tímto útokem vedl předchozí spamové kampaně
Microsoft zjistil, že hrozba, která je odpovědná za útok na Exchange, už nějakou dobu provozuje spamové e-mailové kampaně. Bylo uvedeno ve stejném Příspěvek na blogu Microsoft Security že s tímto útočníkem jsou spojeny dva charakteristické znaky. Aktér hrozby „programově generuje zprávy obsahující dva viditelné hypertextové odkazy v e-mailu tělo“ a používá „dynamický a náhodný obsah vložený do těla HTML každé e-mailové zprávy, aby se vyhnul spamu filtry“.
Ačkoli tyto kampaně byly použity k přístupu k informacím o kreditních kartách a přimět uživatele, aby začali platit předplatné, Microsoft uvedl, že se nezdá, že by tento konkrétní produkt představoval žádné další bezpečnostní hrozby útočník.
Legitimní aplikace budou nadále využívány útočníky
Vytváření falešných, škodlivých verzí důvěryhodných aplikací není v oblasti kybernetické kriminality žádnou novinkou. Použití legitimního jména k oklamání obětí je oblíbenou metodou podvodů po mnoho let, přičemž lidé na celém světě se takovým podvodům denně stávají. Proto je prvořadé, aby všichni uživatelé internetu zavedli adekvátní bezpečnostní opatření (včetně vícefaktorová autentizace) na jejich účtech a zařízeních, aby se vyskytly šance na kybernetický útok jsou sníženy.