攻撃者は、Microsoft Exchange Server を乗っ取ってスパムを広めることを目的として、侵害されたクラウド テナントに悪意のある OAuth アプリケーションを展開しています。
これは、Microsoft 365 Defender Research Team によると、今週、多要素認証 (MFA) が有効になっていないリスクの高いアカウントに対して資格情報の盗用攻撃がどのように開始され、セキュリティで保護されていない管理者アカウントを利用して初期アクセスを取得したかについて詳しく説明しました。
その後、攻撃者は悪意のある OAuth アプリを作成し、電子メール サーバーに悪意のある受信コネクタを追加しました。
変更されたサーバー アクセス
「これらのExchangeサーバー設定への変更により、攻撃者は攻撃の主な目的であるスパムメールの送信を実行できました」と研究者は述べています。 ブログの記事で 「スパムメールは、受信者をだまして定期的な有料サブスクリプションにサインアップさせることを目的とした詐欺的な懸賞スキームの一部として送信されました。」
調査チームは、ハッカーの動機は、懸賞に関する誤解を招くスパム メッセージを拡散し、被害者にクレジット カード情報を引き渡させて、「賞品を獲得するチャンス」を提供する定期的なサブスクリプションを可能にすることであると結論付けました。
調査チームは、「このスキームは、標的に対する不必要な課金をもたらした可能性が高いものの、クレデンシャル フィッシングやマルウェアの配布などの明らかなセキュリティ上の脅威の証拠はありませんでした」と述べています。
この投稿では、バックドアやフィッシング攻撃からコマンド アンド コントロール (C2) 通信やリダイレクトに至るまで、さまざまなキャンペーンのために OAuth アプリケーションを展開する悪意のあるアクターの数が増加していることも指摘しています。
Microsoft は、アカウント資格情報を強化する MFA などのセキュリティ プラクティスの実装、条件付きアクセス ポリシー、継続的アクセス評価 (CAE) の実装を推奨しました。
「後続のスパム キャンペーンは消費者の電子メール アカウントをターゲットにしていますが、この攻撃は、このキャンペーンのインフラストラクチャとして使用するエンタープライズ テナントをターゲットにしています」と研究チームは付け加えました。 「したがって、この攻撃は、影響を受ける企業に直接影響を与える可能性のある攻撃で、他の脅威アクターによって使用される可能性のあるセキュリティの弱点を明らかにします。」
MFA は役に立ちますが、追加のアクセス制御ポリシーが必要です
「MFA は素晴らしいスタートであり、このケースでは Microsoft を助けることができたかもしれませんが、最近のニュースで見たのは、 すべての MFA が同じというわけではありません」と、Contrast Security の CISO である David Lindner 氏は述べています。 「セキュリティ組織として、『ユーザー名とパスワードが侵害された』ことから始めて、それを中心に制御を構築する時が来ました。」
リンドナー氏によると、セキュリティ コミュニティは基本的なことから始めて、最小権限の原則に従って、適切でビジネス主導の役割ベースのアクセス制御ポリシーを作成する必要があります。
「MFA などの適切な技術的制御を設定する必要があります。最適なオプションとして FIDO2、デバイスベースの認証、セッション タイムアウトなどです」と彼は付け加えます。
最後に、組織は「不可能なログイン」 (たとえば、ボストンとダラスから 20 分間隔で同じアカウントへのログイン試行) などの異常を監視する必要があります。 ブルートフォースの試み; また、ユーザーが許可されていないシステムにアクセスしようとします。
「それは可能です。認証メカニズムを強化することで、組織のセキュリティ体制を一晩で大幅に向上させることができます」と Lindner 氏は言います。