Ļaunprātīgi dalībnieki, kas izmanto OAuth lietotnes, lai izplatītu surogātpastu, ir apdraudējuši vairākus mākoņu nomniekus, kas mitina Microsoft Exchange serverus.
Microsoft Exchange serveri, ko izmanto surogātpasta izplatīšanai
2022. gada 23. septembrī tika teikts a Microsoft drošības emuāra ieraksts ka uzbrucējs "draudu aktieris uzsāka akreditācijas datu pildīšanas uzbrukumus augsta riska kontiem, kuriem nebija daudzfaktoru autentifikācija (MFA) iespējoja un izmantoja nenodrošinātos administratora kontus, lai iegūtu sākotnējo piekļuvi.
Piekļūstot mākoņa nomniekam, uzbrucējs varēja reģistrēt neīstu OAuth lietojumprogrammu ar paaugstinātām atļaujām. Pēc tam uzbrucējs serverī pievienoja ļaunprātīgu ienākošo savienotāju, kā arī transporta noteikumus, kas viņiem deva iespēju izplatīt surogātpastu, izmantojot mērķa domēnus, vienlaikus izvairoties no atklāšanas. Ienākošais savienotājs un transporta noteikumi tika dzēsti arī starp katru kampaņu, lai palīdzētu uzbrucējam lidot zem radara.
Lai izpildītu šo uzbrukumu, draudu izpildītājs varēja izmantot augsta riska kontu priekšrocības, kas neizmantoja daudzfaktoru autentifikāciju. Šis surogātpasts bija daļa no shēmas, ko izmantoja, lai upurus pieviltu reģistrēties ilgtermiņa abonementiem.
Uzbrukumos arvien biežāk tiek izmantots OAuth autentifikācijas protokols
Iepriekš minētajā emuāra ierakstā Microsoft arī norādīja, ka tā ir "uzraudzījusi OAuth lietojumprogrammu ļaunprātīgas izmantošanas pieaugošo popularitāti". OAuth ir protokols kas tiek izmantots, lai piekristu tīmekļa vietnēm vai lietojumprogrammām, neatklājot savu paroli. Taču draudu dalībnieks vairākas reizes ir ļaunprātīgi izmantojis šo protokolu, lai nozagtu datus un līdzekļus.
Iepriekš ļaunprātīgi dalībnieki izmantoja ļaunprātīgu OAuth lietojumprogrammu krāpniecībā, kas pazīstama kā "piekrišanas pikšķerēšana". Tas ietvēra upuru viltošanu, lai tie piešķirtu noteiktas atļaujas kaitīgām OAuth lietotnēm. Tādējādi uzbrucējs varēja piekļūt upuru mākoņpakalpojumiem. Pēdējos gados arvien vairāk kibernoziedznieku ir izmantojuši ļaunprātīgas OAuth lietotnes, lai izkrāptu. lietotājiem, dažreiz, lai veiktu pikšķerēšanu, un dažreiz citiem mērķiem, piemēram, aizmugures durvīm un novirzīšanas.
Aktieris aiz šī uzbrukuma ir vadījis iepriekšējās surogātpasta kampaņas
Microsoft atklāja, ka par Exchange uzbrukumu atbildīgais draudu izpildītājs jau kādu laiku ir vadījis surogātpasta e-pasta kampaņas. Tas tika teikts tajā pašā Microsoft drošības emuāra ieraksts ka ar šo uzbrucēju ir saistītas divas pazīmes. Draudu dalībnieks "programmatiski ģenerē ziņojumus, kas satur divus redzamus hipersaites attēlus e-pastā pamatteksts" un izmanto "dinamisku un nejaušinātu saturu, kas tiek ievadīts katra pasta ziņojuma HTML pamattekstā, lai izvairītos no surogātpasta. filtri".
Lai gan šīs kampaņas ir izmantotas, lai piekļūtu kredītkaršu informācijai un pievilinātu lietotājus, lai viņi sāktu norēķināties abonementiem, Microsoft paziņoja, ka šķiet, ka šis konkrētais neradītu nekādus turpmākus drošības apdraudējumus uzbrucējs.
Uzbrucēji turpina izmantot likumīgās lietotnes
Viltus, ļaunprātīgu uzticamu lietotņu versiju izveide nav nekas jauns kibernoziedzības jomā. Leģitīma vārda izmantošana upuru apmānīšanai ir bijusi iecienīta krāpniecības metode jau daudzus gadus, un cilvēki visā pasaulē ik dienas krīt uz šādām krāpšanām. Tāpēc visiem interneta lietotājiem ir ārkārtīgi svarīgi izmantot atbilstošus drošības pasākumus (tostarp vairāku faktoru autentifikācija) savos kontos un ierīcēs, lai izvairītos no kiberuzbrukuma ir nolaisti.
