Zlonamjerni akteri koji koriste OAuth aplikacije za širenje neželjene pošte ugrozili su više zakupaca oblaka koji hostiraju Microsoft Exchange poslužitelje.
Microsoft Exchange poslužitelji koji se koriste za širenje neželjene pošte
Dana 23. rujna 2022. navedeno je u a Microsoft Security post na blogu da je napadač "glumac prijetnje pokrenuo napade punjenjem vjerodajnica protiv visokorizičnih računa koji nisu imali provjera autentičnosti s više faktora (MFA) omogućio i iskoristio nezaštićene administratorske račune za dobivanje početnog pristupa".
Pristupom zakupcu oblaka, napadač je uspio registrirati lažnu OAuth aplikaciju s povišenim dopuštenjima. Napadač je zatim dodao zlonamjerni ulazni konektor unutar poslužitelja, kao i pravila prijenosa, što im je dalo mogućnost širenja neželjene pošte putem ciljanih domena izbjegavajući otkrivanje. Ulazni konektor i pravila prijenosa također su izbrisani između svake kampanje kako bi se napadaču pomoglo da prođe ispod radara.
Kako bi izvršio ovaj napad, akter prijetnje mogao je iskoristiti visokorizične račune koji nisu koristili višestruku autentifikaciju. Ova neželjena pošta bila je dio sheme korištene za prevaru žrtava da se prijave za dugoročne pretplate.
OAuth protokol za provjeru autentičnosti koji se sve više koristi u napadima
U gore navedenoj objavi na blogu, Microsoft je također naveo da "prati sve veću popularnost zlouporabe OAuth aplikacija". OAuth je protokol koji se koristi za pristanak na web stranice ili aplikacije bez potrebe za otkrivanjem vaše lozinke. Ali ovaj je protokol više puta zlouporabio akter prijetnje kako bi ukrao podatke i sredstva.
Prethodno su zlonamjerni akteri koristili zlonamjernu OAuth aplikaciju u prijevari poznatoj kao "phishing pristanka". To je uključivalo prijevaru žrtava da daju određena dopuštenja štetnim OAuth aplikacijama. Kroz to je napadač mogao pristupiti uslugama u oblaku žrtve. Posljednjih godina sve više kibernetičkih kriminalaca koristi zlonamjerne OAuth aplikacije za prijevare korisnicima, ponekad radi krađe identiteta, a ponekad u druge svrhe, kao što su stražnja vrata i preusmjeravanja.
Glumac koji stoji iza ovog napada vodio je prethodne neželjene kampanje
Microsoft je otkrio da je akter prijetnje odgovoran za napad na Exchange neko vrijeme vodio kampanje neželjene e-pošte. U istom je navedeno Microsoft Security post na blogu da postoje dva obilježja povezana s ovim napadačem. Aktivator prijetnje "programski generira poruke koje sadrže dvije vidljive slike s hipervezom u e-poruci tijelo" i koristi "dinamički i nasumični sadržaj umetnut unutar HTML tijela svake poruke e-pošte za izbjegavanje neželjene pošte filtri".
Iako su te kampanje korištene za pristup informacijama o kreditnim karticama i navođenje korisnika da počnu plaćati pretplate, Microsoft je izjavio da se ne čini da postoje daljnje sigurnosne prijetnje koje ova posebno predstavlja napadač.
Napadači i dalje iskorištavaju legitimne aplikacije
Stvaranje lažnih, zlonamjernih verzija pouzdanih aplikacija nije ništa novo u prostoru kibernetičkog kriminala. Korištenje legitimnog imena za prevaru žrtava bila je omiljena metoda prijevare dugi niz godina, a ljudi diljem svijeta svakodnevno nasjedaju na takve prijevare. Zbog toga je za sve korisnike interneta najvažnije primijeniti odgovarajuće sigurnosne mjere (uključujući provjera autentičnosti s više faktora) na njihovim računima i uređajima kako bi se smanjile šanse za kibernetički napad su spušteni.
