Več najemnikov v oblaku, ki gostijo strežnike Microsoft Exchange, so ogrozili zlonamerni akterji, ki uporabljajo aplikacije OAuth za širjenje neželene pošte.
Strežniki Microsoft Exchange, ki se uporabljajo za širjenje neželene pošte
23. septembra 2022 je bilo navedeno v a Objava v spletnem dnevniku Microsoft Security da je napadalec "nevarni igralec sprožil napade s polnenjem poverilnic proti računom z visokim tveganjem, ki niso imeli večfaktorska avtentikacija (MFA) omogočili in izkoristili nezavarovane skrbniške račune za pridobitev začetnega dostopa«.
Z dostopom do najemnika oblaka je napadalec lahko registriral lažno aplikacijo OAuth s povišanimi dovoljenji. Napadalec je nato znotraj strežnika dodal zlonamerni vhodni konektor ter transportna pravila, ki so mu dala možnost širjenja neželene pošte prek ciljnih domen, pri čemer se je izognila zaznavi. Vhodni konektor in transportna pravila so bila prav tako izbrisana med vsako kampanjo, da bi napadalcu pomagali preleteti radar.
Za izvedbo tega napada je akter grožnje lahko izkoristil račune z visokim tveganjem, ki niso uporabljali večfaktorske avtentikacije. Ta neželena pošta je bila del sheme, s katero so žrtve preslepili, da bi se prijavile na dolgoročne naročnine.
Protokol za preverjanje pristnosti OAuth se vse pogosteje uporablja v napadih
V zgoraj omenjeni objavi v blogu je Microsoft tudi izjavil, da "spremlja naraščajočo priljubljenost zlorabe aplikacij OAuth". OAuth je protokol ki se uporablja za soglasje za spletne strani ali aplikacije, ne da bi morali razkriti svoje geslo. Toda akter grožnje je ta protokol večkrat zlorabil za krajo podatkov in sredstev.
Prej so zlonamerni akterji uporabljali zlonamerno aplikacijo OAuth v prevari, znani kot "privolitveno lažno predstavljanje". To je vključevalo prevaro žrtev, da so izdale določena dovoljenja škodljivim aplikacijam OAuth. Prek tega bi lahko napadalec dostopal do storitev v oblaku žrtev. V zadnjih letih vse več kiberkriminalcev uporablja zlonamerne aplikacije OAuth za goljufije uporabniki, včasih za lažno predstavljanje, včasih pa za druge namene, kot so stranska vrata in preusmeritve.
Akter, ki stoji za tem napadom, je izvajal prejšnje oglaševalske akcije z vsiljeno pošto
Microsoft je ugotovil, da je akter grožnje, odgovoren za napad na Exchange, že nekaj časa izvajal oglaševalske akcije z vsiljeno pošto. V istem je bilo navedeno Objava v spletnem dnevniku Microsoft Security da sta s tem napadalcem povezana dva znaka. Akter grožnje "programsko ustvari sporočila, ki vsebujejo dve vidni hiperpovezani sliki v e-pošti telo« in uporablja »dinamično in naključno vsebino, vstavljeno v telo HTML vsakega e-poštnega sporočila, da se izogne neželeni pošti filtri".
Čeprav so bile te kampanje uporabljene za dostop do podatkov o kreditnih karticah in zavajanje uporabnikov, da začnejo plačevati naročnin, je Microsoft izjavil, da se zdi, da to ne predstavlja nobenih dodatnih varnostnih groženj napadalec.
Napadalci še naprej izkoriščajo zakonite aplikacije
Ustvarjanje ponarejenih, zlonamernih različic zaupanja vrednih aplikacij ni nič novega v prostoru kibernetske kriminalitete. Uporaba zakonitega imena za pretentanje žrtev je že vrsto let priljubljena metoda prevare, pri čemer ljudje po vsem svetu vsakodnevno nasedajo takim goljufijam. Zato je za vse uporabnike interneta najpomembnejše, da uporabijo ustrezne varnostne ukrepe (vključno z večfaktorsko preverjanje pristnosti) na njihovih računih in napravah, da zmanjšajo možnosti, da bi naleteli na kibernetski napad. so znižani.