ينشر المهاجمون تطبيقات OAuth الضارة على مستأجري السحابة المخترقين ، بهدف الاستيلاء على خوادم Microsoft Exchange لنشر البريد العشوائي.
هذا وفقًا لفريق Microsoft 365 Defender Research Team ، الذي شرح هذا الأسبوع بالتفصيل كيف تم إطلاق هجمات حشو بيانات الاعتماد ضد الحسابات عالية المخاطر التي لا تحتوي على مصادقة متعددة العوامل (MFA) ممكّنة ، ثم الاستفادة من حسابات المسؤول غير المؤمنة للحصول على وصول أولي.
تمكن المهاجمون لاحقًا من إنشاء تطبيق OAuth ضار ، والذي أضاف موصلًا ضارًا واردًا في خادم البريد الإلكتروني.
تعديل الوصول إلى الخادم
أشار الباحثون إلى أن "هذه التعديلات على إعدادات خادم Exchange أتاحت لممثل التهديد تنفيذ هدفه الأساسي في الهجوم: إرسال رسائل بريد إلكتروني غير مرغوب فيها" في بلوق وظيفة في 22 سبتمبر. "تم إرسال رسائل البريد الإلكتروني العشوائية كجزء من مخطط يانصيب خادع يهدف إلى خداع المستلمين للاشتراك في الاشتراكات المدفوعة المتكررة."
خلص فريق البحث إلى أن دافع المتسلل هو نشر رسائل غير مرغوب فيها مضللة حول اليانصيب ، مما يدفع الضحايا إلى تسليم معلومات بطاقة الائتمان لتمكين الاشتراك المتكرر الذي من شأنه أن يوفر لهم "فرصة للفوز بجائزة".
وأشار فريق البحث إلى أنه "على الرغم من أن المخطط قد أدى على الأرجح إلى توجيه اتهامات غير مرغوب فيها إلى الأهداف ، إلا أنه لم يكن هناك دليل على وجود تهديدات أمنية علنية مثل تصيد بيانات الاعتماد أو توزيع البرامج الضارة".
أشار المنشور أيضًا إلى أن عددًا متزايدًا من الجهات الفاعلة الخبيثة ينشرون تطبيقات OAuth لحملات مختلفة ، من الهجمات الخلفية والتصيد الاحتيالي إلى اتصالات القيادة والتحكم (C2) وإعادة التوجيه.
أوصت Microsoft بتنفيذ ممارسات الأمان مثل MFA التي تعزز بيانات اعتماد الحساب ، بالإضافة إلى سياسات الوصول المشروط وتقييم الوصول المستمر (CAE).
وأضاف فريق البحث: "بينما تستهدف حملة البريد العشوائي اللاحقة حسابات البريد الإلكتروني للمستهلكين ، فإن هذا الهجوم يستهدف مستأجري المؤسسات لاستخدامها كبنية أساسية لهذه الحملة". "وبالتالي فإن هذا الهجوم يكشف نقاط الضعف الأمنية التي يمكن أن تستخدمها الجهات الفاعلة الأخرى في التهديد في الهجمات التي يمكن أن تؤثر بشكل مباشر على الشركات المتضررة."
يمكن لـ MFA المساعدة ، ولكن يلزم اتباع سياسات إضافية للتحكم في الوصول
"بينما تعد MFA بداية رائعة وكان من الممكن أن تساعد Microsoft في هذه الحالة ، فقد رأينا ذلك في الأخبار مؤخرًا ليس كل أسلوب العائالت المتعددة هو نفسه، "يلاحظ David Lindner ، CISO في Contrast Security. "بصفتنا مؤسسة أمنية ، فقد حان الوقت لنبدأ من" اختراق اسم المستخدم وكلمة المرور "وإنشاء ضوابط حول ذلك."
يقول ليندنر إن مجتمع الأمان يحتاج إلى البدء ببعض الأساسيات واتباع مبدأ الامتياز الأقل لإنشاء سياسات التحكم في الوصول المناسبة والموجهة للأعمال التجارية والمستندة إلى الأدوار.
ويضيف قائلاً: "نحتاج إلى تعيين عناصر تحكم تقنية مناسبة مثل MFA - FIDO2 كخيار أفضل لك - المصادقة المستندة إلى الجهاز ، ومهلة الجلسة ، وما إلى ذلك".
أخيرًا ، تحتاج المؤسسات إلى مراقبة الحالات الشاذة مثل "عمليات تسجيل الدخول المستحيلة" (على سبيل المثال ، محاولات تسجيل الدخول إلى نفس الحساب من ، على سبيل المثال ، بوسطن ودالاس ، والتي تفصل بينهما 20 دقيقة) ؛ محاولات القوة الغاشمة ومحاولات المستخدم الوصول إلى أنظمة غير مصرح بها.
يقول ليندنر: "يمكننا القيام بذلك ، ويمكننا زيادة الوضع الأمني للمؤسسة بشكل كبير بين عشية وضحاها من خلال تشديد آليات المصادقة الخاصة بنا".
