Penyerang menyebarkan aplikasi OAuth berbahaya pada penyewa cloud yang disusupi, dengan tujuan mengambil alih Server Microsoft Exchange untuk menyebarkan spam.
Itu menurut Tim Riset Pertahanan Microsoft 365, yang merinci minggu ini bagaimana serangan isian kredensial telah diluncurkan terhadap akun berisiko tinggi yang tidak mengaktifkan autentikasi multifaktor (MFA), lalu memanfaatkan akun administrator yang tidak aman untuk mendapatkan akses awal.
Penyerang kemudian dapat membuat aplikasi OAuth berbahaya, yang menambahkan konektor masuk berbahaya di server email.
Akses Server yang Dimodifikasi
“Modifikasi pengaturan server Exchange ini memungkinkan aktor ancaman untuk melakukan tujuan utama mereka dalam serangan: mengirim email spam,” catat para peneliti. dalam posting blog pada 22 September. “Email spam dikirim sebagai bagian dari skema undian yang menipu yang dimaksudkan untuk mengelabui penerima agar mendaftar langganan berbayar berulang kali.”
Tim peneliti menyimpulkan bahwa motif peretas adalah untuk menyebarkan pesan spam yang menyesatkan tentang undian, mendorong korban untuk menyerahkan informasi kartu kredit untuk mengaktifkan langganan berulang yang akan memberi mereka “kesempatan untuk memenangkan hadiah”.
“Meskipun skema tersebut kemungkinan menghasilkan biaya yang tidak diinginkan ke target, tidak ada bukti ancaman keamanan terbuka seperti phishing kredensial atau distribusi malware,” catat tim peneliti.
Posting tersebut juga menunjukkan bahwa semakin banyak aktor jahat yang telah menerapkan aplikasi OAuth untuk berbagai kampanye, mulai dari pintu belakang dan serangan phishing hingga komunikasi dan pengalihan perintah-dan-kontrol (C2).
Microsoft merekomendasikan penerapan praktik keamanan seperti MFA yang memperkuat kredensial akun, serta kebijakan akses bersyarat dan evaluasi akses berkelanjutan (CAE).
“Sementara kampanye spam lanjutan menargetkan akun email konsumen, serangan ini menargetkan penyewa perusahaan untuk digunakan sebagai infrastruktur kampanye ini,” tambah tim peneliti. “Serangan ini dengan demikian mengungkap kelemahan keamanan yang dapat digunakan oleh pelaku ancaman lain dalam serangan yang dapat berdampak langsung pada perusahaan yang terkena dampak.”
MFA Dapat Membantu, tetapi Diperlukan Kebijakan Kontrol Akses Tambahan
“Meskipun MFA adalah awal yang baik dan dapat membantu Microsoft dalam kasus ini, kami telah melihat di berita baru-baru ini tidak semua MFA sama,” catat David Lindner, CISO di Contrast Security. “Sebagai organisasi keamanan, sudah saatnya kita mulai dari 'nama pengguna dan kata sandi disusupi' dan membangun kontrol di sekitarnya.”
Lindner mengatakan komunitas keamanan perlu memulai dengan beberapa dasar dan mengikuti prinsip hak istimewa paling rendah untuk membuat kebijakan kontrol akses berbasis peran yang sesuai, digerakkan oleh bisnis.
“Kami perlu mengatur kontrol teknis yang sesuai seperti MFA — FIDO2 sebagai opsi terbaik Anda — autentikasi berbasis perangkat, waktu tunggu sesi, dan sebagainya,” tambahnya.
Terakhir, organisasi perlu memantau anomali seperti "masuk yang tidak mungkin" (yaitu, upaya masuk ke akun yang sama dari, katakanlah, Boston dan Dallas, yang berjarak 20 menit); upaya kekerasan; dan pengguna mencoba untuk mengakses sistem yang tidak sah.
“Kami dapat melakukannya, dan kami dapat sangat meningkatkan postur keamanan organisasi dalam semalam dengan memperketat mekanisme autentikasi kami,” kata Lindner.
