Несколько облачных арендаторов, на которых размещены серверы Microsoft Exchange, были скомпрометированы злоумышленниками, использующими приложения OAuth для распространения спама.
Серверы Microsoft Exchange, используемые для распространения спама
23 сентября 2022 года было указано в Запись в блоге по безопасности Майкрософт что злоумышленник «субъект угрозы запустил атаки с заполнением учетных данных против учетных записей с высоким риском, которые не имели многофакторная аутентификация (MFA) включил и использовал незащищенные учетные записи администратора для получения первоначального доступа».
Получив доступ к облачному арендатору, злоумышленник смог зарегистрировать фальшивое приложение OAuth с повышенными разрешениями. Затем злоумышленник добавил вредоносный входящий коннектор на сервер, а также правила транспорта, которые дали им возможность распространять спам через целевые домены, избегая обнаружения. Входящий коннектор и транспортные правила также удалялись между каждой кампанией, чтобы помочь злоумышленнику остаться незамеченным.
Для выполнения этой атаки злоумышленник смог воспользоваться учетными записями с высоким уровнем риска, которые не использовали многофакторную аутентификацию. Этот спам был частью схемы, используемой для того, чтобы обманом заставить жертв подписываться на долгосрочные подписки.
Протокол аутентификации OAuth все чаще используется в атаках
В вышеупомянутом сообщении в блоге Microsoft также заявила, что «отслеживает растущую популярность злоупотребления приложениями OAuth». OAuth — это протокол который используется для согласия с веб-сайтами или приложениями без необходимости раскрытия вашего пароля. Но злоумышленники неоднократно злоупотребляли этим протоколом для кражи данных и средств.
Ранее злоумышленники использовали вредоносное приложение OAuth в мошенничестве, известном как «фишинг согласия». Это включало в себя обман жертв, чтобы они предоставили определенные разрешения вредоносным приложениям OAuth. Благодаря этому злоумышленник мог получить доступ к облачным сервисам жертв. В последние годы все больше и больше киберпреступников используют вредоносные приложения OAuth для мошенничества. пользователей, иногда для проведения фишинга, а иногда и для других целей, таких как бэкдоры и перенаправления.
Актер, стоящий за этой атакой, уже запускал предыдущие спам-кампании
Microsoft обнаружила, что злоумышленник, ответственный за атаку на Exchange, в течение некоторого времени проводил рассылки спама по электронной почте. Об этом было сказано в том же Запись в блоге по безопасности Майкрософт что есть две отличительные черты, связанные с этим злоумышленником. Злоумышленник «программно генерирует [s] сообщения, содержащие два видимых изображения с гиперссылками в электронном письме. body» и использует «динамический и рандомизированный контент, внедряемый в тело HTML каждого почтового сообщения, чтобы избежать спама». фильтры».
Хотя эти кампании использовались для доступа к информации о кредитных картах и обмана пользователей, чтобы они начали оплачивать подписки, Microsoft заявила, что, по-видимому, не существует никаких дополнительных угроз безопасности, исходящих от этого конкретного злоумышленник.
Легальные приложения продолжают использоваться злоумышленниками
Создание поддельных вредоносных версий доверенных приложений не является чем-то новым в сфере киберпреступности. Использование законного имени для обмана жертв было излюбленным методом мошенничества в течение многих лет, и люди во всем мире ежедневно попадаются на такие аферы. Вот почему крайне важно, чтобы все пользователи Интернета применяли адекватные меры безопасности (включая многофакторная аутентификация) на своих учетных записях и устройствах, чтобы снизить вероятность кибератаки. опущены.
