Aanvallers zetten kwaadaardige OAuth-applicaties in op gecompromitteerde cloudtenants, met als doel Microsoft Exchange Servers over te nemen om spam te verspreiden.
Dat is volgens het Microsoft 365 Defender Research Team, dat deze week gedetailleerd beschrijft hoe credential-stuffing-aanvallen zijn gelanceerd tegen accounts met een hoog risico die geen multifactor-authenticatie (MFA) hebben ingeschakeld, en vervolgens gebruikmaken van onbeveiligde beheerdersaccounts om initiële toegang te krijgen.
De aanvallers waren vervolgens in staat om een kwaadaardige OAuth-app te maken, die een kwaadaardige inkomende connector aan de e-mailserver toevoegde.
Gewijzigde servertoegang
"Door deze aanpassingen aan de Exchange-serverinstellingen kon de bedreigingsactor zijn primaire doel van de aanval uitvoeren: het versturen van spam-e-mails", merkten de onderzoekers op. in een blog post op 22 september. "De spam-e-mails werden verzonden als onderdeel van een misleidend sweepstake-schema dat bedoeld was om ontvangers te misleiden om zich aan te melden voor terugkerende betaalde abonnementen."
Het onderzoeksteam concludeerde dat het motief van de hacker was om misleidende spamberichten over sweepstakes te verspreiden, waardoor slachtoffers creditcardgegevens moesten overhandigen om een terugkerend abonnement mogelijk te maken dat hen "de kans op het winnen van een prijs" zou bieden.
"Hoewel het plan waarschijnlijk heeft geleid tot ongewenste aanvallen op doelen, was er geen bewijs van openlijke beveiligingsbedreigingen zoals phishing van referenties of verspreiding van malware", merkte het onderzoeksteam op.
De post wees er ook op dat een groeiende populatie van kwaadwillende actoren OAuth-applicaties inzet voor verschillende campagnes, van backdoors en phishing-aanvallen tot command-and-control (C2)-communicatie en omleidingen.
Microsoft raadde aan om beveiligingspraktijken zoals MFA te implementeren die accountreferenties versterken, evenals beleid voor voorwaardelijke toegang en continue toegangsevaluatie (CAE).
"Terwijl de vervolg-spamcampagne gericht is op e-mailaccounts van consumenten, richt deze aanval zich op zakelijke huurders om als infrastructuur voor deze campagne te gebruiken", voegde het onderzoeksteam eraan toe. "Deze aanval legt dus zwakke punten in de beveiliging bloot die door andere bedreigingsactoren kunnen worden gebruikt bij aanvallen die rechtstreekse gevolgen kunnen hebben voor getroffen ondernemingen."
MFA kan helpen, maar er is aanvullend toegangscontrolebeleid vereist
“Hoewel MFA een goed begin is en Microsoft in dit geval had kunnen helpen, hebben we dat onlangs in het nieuws gezien niet alle MFA is hetzelfde”, zegt David Lindner, CISO bij Contrast Security. "Als beveiligingsorganisatie wordt het tijd dat we uitgaan van 'de gebruikersnaam en het wachtwoord zijn gecompromitteerd' en daar controles omheen bouwen."
Lindner zegt dat de beveiligingsgemeenschap moet beginnen met enkele basisprincipes en het principe van de minste privileges moet volgen om passend, bedrijfsgestuurd, op rollen gebaseerd toegangscontrolebeleid te creëren.
"We moeten passende technische controles instellen, zoals MFA - FIDO2 als uw beste optie - apparaatgebaseerde authenticatie, sessietime-outs, enzovoort", voegt hij eraan toe.
Ten slotte moeten organisaties controleren op anomalieën zoals "onmogelijke aanmeldingen" (dwz inlogpogingen op hetzelfde account vanuit bijvoorbeeld Boston en Dallas, die 20 minuten uit elkaar liggen); pogingen met brute kracht; en pogingen van gebruikers om toegang te krijgen tot niet-geautoriseerde systemen.
"We kunnen het, en we kunnen de beveiligingsstatus van een organisatie van de ene op de andere dag enorm verbeteren door onze authenticatiemechanismen aan te scherpen", zegt Lindner.
