공격자는 Microsoft Exchange Server를 장악하여 스팸을 퍼뜨리는 것을 목표로 손상된 클라우드 테넌트에 악성 OAuth 애플리케이션을 배포하고 있습니다.
마이크로소프트 365 디펜더 리서치 팀에 따르면 이번 주에 다단계 인증(MFA)이 활성화되지 않은 고위험 계정에 대한 크리덴셜 스터핑 공격이 시작된 후 보안되지 않은 관리자 계정을 활용하여 초기 액세스 권한을 얻는 방법을 자세히 설명했습니다.
이후 공격자는 이메일 서버에 악성 인바운드 커넥터를 추가한 악성 OAuth 앱을 만들 수 있었습니다.
수정된 서버 액세스
연구원들은 "Exchange 서버 설정에 대한 이러한 수정을 통해 공격자는 스팸 이메일 발송이라는 공격의 주요 목표를 수행할 수 있었습니다."라고 말했습니다. 블로그 게시물에서 22월 XNUMX일.
연구팀은 해커의 동기가 복권에 대한 오해의 소지가 있는 스팸 메시지를 퍼뜨려 피해자가 신용카드 정보를 넘겨주도록 유도해 반복 구독을 통해 "경품 당첨 기회"를 제공하는 것이라고 결론지었습니다.
연구팀은 "이 계획으로 인해 대상에게 원치 않는 요금이 부과되었을 가능성이 있지만 자격 증명 피싱이나 맬웨어 배포와 같은 명백한 보안 위협의 증거는 없었다"고 지적했다.
이 게시물은 또한 백도어 및 피싱 공격에서 명령 및 제어(C2) 통신 및 리디렉션에 이르기까지 다양한 캠페인을 위해 OAuth 애플리케이션을 배포하는 악의적인 행위자의 수가 증가하고 있다고 지적했습니다.
Microsoft는 조건부 액세스 정책 및 CAE(지속적인 액세스 평가)뿐만 아니라 계정 자격 증명을 강화하는 MFA와 같은 보안 관행을 구현할 것을 권장했습니다.
"후속 스팸 캠페인은 소비자 이메일 계정을 대상으로 하지만 이 공격은 이 캠페인의 인프라로 사용할 엔터프라이즈 테넌트를 대상으로 합니다."라고 연구팀은 덧붙였습니다. "따라서 이 공격은 영향을 받는 기업에 직접 영향을 미칠 수 있는 공격에서 다른 위협 행위자가 사용할 수 있는 보안 약점을 노출합니다."
MFA가 도움이 되지만 추가 액세스 제어 정책이 필요함
"MFA는 훌륭한 시작이고 이 경우 Microsoft를 도울 수 있었지만 최근 뉴스에서 모든 MFA가 동일한 것은 아닙니다.”라고 Contrast Security의 CISO인 David Lindner는 말합니다. "보안 조직으로서 '사용자 이름과 암호가 손상됨'에서 시작하여 이를 중심으로 제어를 구축할 때입니다."
Lindner는 보안 커뮤니티가 적절한 비즈니스 중심의 역할 기반 액세스 제어 정책을 생성하려면 몇 가지 기본 사항으로 시작하고 최소 권한 원칙을 따라야 한다고 말합니다.
"우리는 장치 기반 인증, 세션 시간 초과 등과 같은 MFA(최선의 옵션인 FIDO2)와 같은 적절한 기술 제어를 설정해야 합니다."라고 그는 덧붙입니다.
마지막으로, 조직은 "불가능한 로그인"(즉, 20분 간격으로 보스턴과 댈러스에서 동일한 계정에 대한 로그인 시도)과 같은 이상 징후를 모니터링해야 합니다. 무차별 대입 시도; 사용자는 승인되지 않은 시스템에 액세스하려고 시도합니다.
"우리는 할 수 있으며 인증 메커니즘을 강화하여 하룻밤 사이에 조직의 보안 태세를 크게 높일 수 있습니다."라고 Lindner는 말합니다.
