Wielu dzierżawców chmury hostujących serwery Microsoft Exchange zostało narażonych na szwank przez złośliwe podmioty używające aplikacji OAuth do rozprzestrzeniania spamu.
Serwery Microsoft Exchange wykorzystywane do rozprzestrzeniania spamu
W dniu 23 września 2022 roku stwierdzono w a Wpis na blogu Microsoft Security że atakujący „uczestnik zagrożenia przeprowadził ataki polegające na upychaniu danych uwierzytelniających na kontach wysokiego ryzyka, które ich nie posiadały uwierzytelnianie wieloskładnikowe (MFA) włączył i wykorzystał niezabezpieczone konta administratorów, aby uzyskać początkowy dostęp”.
Uzyskując dostęp do dzierżawcy chmury, osoba atakująca mogła zarejestrować fałszywą aplikację OAuth z podwyższonymi uprawnieniami. Następnie atakujący dodał złośliwe złącze przychodzące na serwerze, a także reguły transportowe, które dały mu możliwość rozprzestrzeniania spamu za pośrednictwem docelowych domen, unikając wykrycia. Łącznik przychodzący i zasady transportu zostały również usunięte pomiędzy kampaniami, aby pomóc atakującemu pozostać pod radarem.
Aby przeprowadzić ten atak, cyberprzestępca był w stanie wykorzystać konta wysokiego ryzyka, które nie korzystały z uwierzytelniania wieloskładnikowego. Spam ten był częścią schematu wykorzystywanego do nakłaniania ofiar do zapisania się na długoterminowe subskrypcje.
Protokół uwierzytelniania OAuth coraz częściej wykorzystywany w atakach
We wspomnianym poście na blogu Microsoft stwierdził również, że „monitoruje rosnącą popularność nadużywania aplikacji OAuth”. OAuth to protokół który służy do wyrażania zgody na dostęp do stron internetowych lub aplikacji bez konieczności ujawniania hasła. Jednak ten protokół był wielokrotnie nadużywany przez cyberprzestępców w celu kradzieży danych i funduszy.
Wcześniej złośliwi aktorzy używali złośliwej aplikacji OAuth w oszustwie znanym jako „wyłudzanie zgody”. Wiązało się to z nakłanianiem ofiar do przyznawania określonych uprawnień szkodliwym aplikacjom OAuth. Dzięki temu atakujący mógł uzyskać dostęp do usług chmurowych ofiar. W ostatnich latach coraz więcej cyberprzestępców używało złośliwych aplikacji OAuth do oszustw użytkowników, czasami do przeprowadzania phishingu, a czasami do innych celów, takich jak backdoory i przekierowania.
Aktor stojący za tym atakiem prowadził poprzednie kampanie spamowe
Firma Microsoft odkryła, że cyberprzestępca odpowiedzialny za atak na serwer Exchange od pewnego czasu prowadził kampanie e-mailowe ze spamem. Stwierdzono w tym samym Wpis na blogu Microsoft Security że istnieją dwie cechy charakterystyczne związane z tym napastnikiem. Aktor zagrożenia „programowo generuje wiadomości zawierające dwa widoczne hiperłącza w wiadomości e-mail body” i wykorzystuje „dynamiczną i losową zawartość wstrzykiwaną do treści HTML każdej wiadomości e-mail, aby uniknąć spamu filtry".
Chociaż te kampanie były wykorzystywane do uzyskiwania dostępu do informacji o kartach kredytowych i nakłaniania użytkowników do rozpoczęcia płatności subskrypcji, Microsoft stwierdził, że wydaje się, że nie ma żadnych dalszych zagrożeń bezpieczeństwa związanych z tym konkretnym napastnik.
Wiarygodne aplikacje nadal są wykorzystywane przez hakerów
Tworzenie fałszywych, złośliwych wersji zaufanych aplikacji nie jest niczym nowym w obszarze cyberprzestępczości. Używanie legalnej nazwy do oszukiwania ofiar jest od wielu lat ulubioną metodą oszustwa, a ludzie na całym świecie codziennie dają się nabrać na takie oszustwa. Dlatego tak ważne jest, aby wszyscy użytkownicy Internetu stosowali odpowiednie środki bezpieczeństwa (m.in uwierzytelnianie wieloskładnikowe) na swoich kontach i urządzeniach, aby zmniejszyć szanse na cyberatak są obniżone.