Angribere implementerer ondsindede OAuth-applikationer på kompromitterede cloud-lejere med det mål at overtage Microsoft Exchange-servere for at sprede spam.
Det er ifølge Microsoft 365 Defender Research Team, som i denne uge detaljerede detaljerede oplysninger om, hvordan legitimationsfyldningsangreb er blevet lanceret mod højrisikokonti, der ikke har multifaktorautentificering (MFA) aktiveret, og derefter udnyttede usikrede administratorkonti til at få indledende adgang.
Angriberne var efterfølgende i stand til at oprette en ondsindet OAuth-app, som tilføjede en ondsindet indgående forbindelse i e-mail-serveren.
Ændret serveradgang
"Disse ændringer af Exchange-serverindstillingerne gjorde det muligt for trusselsaktøren at udføre deres primære mål i angrebet: at udsende spam-e-mails," bemærkede forskerne i et blogindlæg den 22. september. "Spam-e-mails blev sendt som en del af en vildledende konkurrenceplan, der skulle narre modtagere til at tilmelde sig tilbagevendende betalte abonnementer."
Forskerholdet konkluderede, at hackerens motiv var at sprede vildledende spam-beskeder om lotterier, hvilket fik ofre til at udlevere kreditkortoplysninger for at muliggøre et tilbagevendende abonnement, der ville give dem "chancen til at vinde en præmie."
"Selvom ordningen sandsynligvis resulterede i uønskede sigtelser til mål, var der ingen beviser for åbenlyse sikkerhedstrusler såsom legitimationsphishing eller malware-distribution," bemærkede forskerholdet.
Indlægget påpegede også, at en voksende befolkning af ondsindede aktører har implementeret OAuth-applikationer til forskellige kampagner, fra bagdøre og phishing-angreb til kommando-og-kontrol (C2) kommunikation og omdirigering.
Microsoft anbefalede at implementere sikkerhedspraksis som MFA, der styrker kontolegitimationsoplysninger, samt politikker for betinget adgang og kontinuerlig adgangsevaluering (CAE).
"Mens den opfølgende spam-kampagne er rettet mod forbruger-e-mail-konti, er dette angreb rettet mod virksomhedslejere til at bruge som infrastruktur til denne kampagne," tilføjede forskerholdet. "Dette angreb afslører således sikkerhedssvagheder, der kan bruges af andre trusselsaktører i angreb, der direkte kan påvirke berørte virksomheder."
MFA kan hjælpe, men yderligere adgangskontrolpolitikker påkrævet
"Mens MFA er en god start og kunne have hjulpet Microsoft i denne sag, har vi set i nyhederne for nylig, at ikke alle MFA er ens,” bemærker David Lindner, CISO hos Contrast Security. "Som en sikkerhedsorganisation er det på tide, at vi tager udgangspunkt i 'brugernavnet og adgangskoden er kompromitteret' og bygger kontroller omkring det."
Lindner siger, at sikkerhedssamfundet skal starte med nogle grundlæggende ting og følge princippet om mindste privilegium for at skabe passende, forretningsdrevne, rollebaserede adgangskontrolpolitikker.
"Vi er nødt til at indstille passende tekniske kontroller som MFA - FIDO2 som din bedste mulighed - enhedsbaseret godkendelse, sessionstimeouts og så videre," tilføjer han.
Endelig skal organisationer overvåge for uregelmæssigheder såsom "umulige logins" (dvs. loginforsøg til den samme konto fra f.eks. Boston og Dallas, der er 20 minutters mellemrum); brute-force forsøg; og brugerens forsøg på at få adgang til uautoriserede systemer.
"Vi kan gøre det, og vi kan i høj grad øge en organisations sikkerhedsposition fra den ene dag til den anden ved at stramme vores autentificeringsmekanismer," siger Lindner.
