Viacerí nájomníci cloudu, ktorí hosťujú servery Microsoft Exchange, boli napadnutí škodlivými činiteľmi pomocou aplikácií OAuth na šírenie spamu.
Servery Microsoft Exchange používané na šírenie spamu
Dňa 23. septembra 2022 bolo uvedené v a Blogový príspevok Microsoft Security že útočník „aktér hrozby spustil útoky na hromadenie poverení proti vysoko rizikovým účtom, ktoré nemali viacfaktorové overenie (MFA) povolil a využil nezabezpečené správcovské účty na získanie počiatočného prístupu“.
Prístupom k nájomcovi cloudu sa útočníkovi podarilo zaregistrovať falošnú aplikáciu OAuth so zvýšenými povoleniami. Útočník potom pridal škodlivý vstupný konektor do servera, ako aj pravidlá prenosu, ktoré im umožnili šíriť spam cez cielené domény a vyhnúť sa detekcii. Prichádzajúci konektor a pravidlá prepravy boli tiež odstránené medzi každou kampaňou, aby sa útočníkovi pomohlo preletieť pod radarom.
Na vykonanie tohto útoku mohol aktér hrozby využiť vysoko rizikové účty, ktoré nepoužívali viacfaktorovú autentifikáciu. Tento spam bol súčasťou schémy používanej na oklamanie obetí, aby sa prihlásili na dlhodobé odbery.
Overovací protokol OAuth sa čoraz viac používa pri útokoch
Vo vyššie uvedenom blogovom príspevku Microsoft tiež uviedol, že „monitoruje rastúcu popularitu zneužívania aplikácií OAuth“. OAuth je protokol ktorý sa používa na vyjadrenie súhlasu s webovými stránkami alebo aplikáciami bez toho, aby ste museli prezradiť svoje heslo. Ale tento protokol bol viackrát zneužitý aktérom hrozby na krádež údajov a finančných prostriedkov.
Predtým útočníci používali škodlivú aplikáciu OAuth v podvode známom ako „phishing so súhlasom“. Zahŕňalo to oklamanie obetí, aby udelili určité povolenia škodlivým aplikáciám OAuth. Prostredníctvom toho by útočník mohol získať prístup ku cloudovým službám obetí. V posledných rokoch čoraz viac počítačových zločincov používa škodlivé aplikácie OAuth na podvody používateľov, niekedy na vykonávanie phishingu a niekedy na iné účely, ako sú zadné vrátka a presmerovania.
Herec za týmto útokom viedol predchádzajúce spamové kampane
Spoločnosť Microsoft zistila, že aktér hrozby zodpovedný za útok na serveri Exchange už nejaký čas prevádzkoval spamové e-mailové kampane. Bolo to uvedené v tom istom Blogový príspevok Microsoft Security že s týmto útočníkom sú spojené dva charakteristické znaky. Aktér hrozby „programovo generuje správy obsahujúce dva viditeľné hypertextové odkazy v e-maile telo“ a používa „dynamický a náhodný obsah vložený do tela HTML každej e-mailovej správy, aby sa vyhli spamu filtre“.
Hoci tieto kampane boli použité na prístup k informáciám o kreditných kartách a na oklamanie používateľov, aby začali platiť Microsoft uviedol, že podľa všetkého neexistujú žiadne ďalšie bezpečnostné hrozby, ktoré predstavuje tento konkrétny útočník.
Útočníci budú naďalej využívať legitímne aplikácie
Vytváranie falošných, škodlivých verzií dôveryhodných aplikácií nie je v oblasti počítačovej kriminality žiadnou novinkou. Používanie legitímneho mena na oklamanie obetí je obľúbenou metódou podvodu už mnoho rokov, pričom ľudia na celom svete sa takýmto podvodom každodenne stávajú obeťami. Preto je prvoradé, aby všetci používatelia internetu zaviedli primerané bezpečnostné opatrenia (vrátane viacfaktorová autentifikácia) na ich účtoch a zariadeniach, čím sa zvyšuje riziko kybernetického útoku sú znížené.