A Microsoft Exchange szervereket üzemeltető több felhőbérlőt is feltörtek rosszindulatú szereplők, akik OAuth-alkalmazásokat használnak a spam terjesztésére.
Spam terjesztésére használt Microsoft Exchange szerverek
2022. szeptember 23-án az a Microsoft Security blogbejegyzés hogy a támadó „fenyegető szereplő hitelesítő támadásokat indított olyan magas kockázatú fiókok ellen, amelyek nem többtényezős hitelesítés (MFA) engedélyezte és kihasználta a nem biztonságos rendszergazdai fiókokat a kezdeti hozzáférés megszerzéséhez".
A felhőbérlőhöz való hozzáféréssel a támadó egy hamis OAuth-alkalmazást regisztrálhatott emelt szintű jogosultságokkal. A támadó ezután egy rosszindulatú bejövő összekötőt, valamint szállítási szabályokat adott a kiszolgálón belülre, ami lehetővé tette számukra, hogy célzott tartományokon keresztül spameket terjeszthessenek, miközben elkerülték az észlelést. A bejövő csatlakozót és a szállítási szabályokat is törölték az egyes kampányok között, hogy segítsék a támadót a radar alatt repülni.
A támadás végrehajtásához a fenyegetés szereplője kihasználta azokat a magas kockázatú fiókokat, amelyek nem használnak többtényezős hitelesítést. Ez a spam egy olyan rendszer része volt, amellyel az áldozatokat hosszú távú előfizetésre trükközték.
Az OAuth hitelesítési protokollt egyre gyakrabban használják a támadásokban
A fent említett blogbejegyzésben a Microsoft azt is kijelentette, hogy "figyeli az OAuth alkalmazásokkal való visszaélések növekvő népszerűségét". Az OAuth egy protokoll amely a webhelyek vagy alkalmazások hozzájárulására szolgál anélkül, hogy fel kellene fednie jelszavát. Ezzel a protokollal azonban egy fenyegetőző többször visszaélt adatok és pénzek ellopása céljából.
Korábban a rosszindulatú szereplők rosszindulatú OAuth-alkalmazást használtak egy „beleegyezési adathalászat” néven ismert átveréshez. Ez magában foglalta az áldozatok becsapását, hogy bizonyos engedélyeket adjanak a káros OAuth-alkalmazásokhoz. Ezen keresztül a támadó hozzáférhetett az áldozatok felhőszolgáltatásaihoz. Az elmúlt években egyre több internetes bûnözõ használt rosszindulatú OAuth-alkalmazásokat csalásra. felhasználók számára, néha adathalászat lebonyolítására, néha pedig más célokra, például hátsó ajtók és átirányításokat.
A támadás mögött álló színész korábbi spamkampányokat vezetett
A Microsoft megállapította, hogy az Exchange-támadásért felelős fenyegetettség már egy ideje spam-e-mail kampányokat futtatott. Ugyanebben az volt írva Microsoft Security blogbejegyzés hogy ehhez a támadóhoz két bélyeg kapcsolódik. A fenyegetés szereplője "programozottan generál üzeneteket, amelyek két látható hiperhivatkozásos képet tartalmaznak az e-mailben törzs", és "dinamikus és véletlenszerű tartalmat használ az egyes levelek HTML-törzsébe a spam elkerülésére szűrők".
Bár ezeket a kampányokat arra használták, hogy hozzáférjenek a hitelkártyaadatokhoz, és rávegyék a felhasználókat a fizetős fizetés megkezdésére előfizetések esetén a Microsoft kijelentette, hogy úgy tűnik, hogy ez nem jelent további biztonsági fenyegetést támadó.
A legális alkalmazásokat továbbra is kihasználják a támadók
A megbízható alkalmazások hamis, rosszindulatú verzióinak létrehozása nem újdonság a kiberbűnözés terén. A törvényes név használata az áldozatok becsapására hosszú évek óta a kedvenc átverési módszer, világszerte naponta esnek bele az emberek az ilyen csalásokba. Éppen ezért minden internetfelhasználó számára kiemelten fontos, hogy megfelelő biztonsági intézkedéseket alkalmazzon (beleértve többtényezős hitelesítés) fiókjaikon és eszközeiken, így fennáll a kibertámadás esélye le vannak engedve.
