Angripere distribuerer ondsinnede OAuth-applikasjoner på kompromitterte nettskyleiere, med mål om å overta Microsoft Exchange-servere for å spre spam.
Det er ifølge Microsoft 365 Defender Research Team, som denne uken beskrev hvordan legitimasjonsfyllende angrep har blitt lansert mot høyrisikokontoer som ikke har multifaktorautentisering (MFA) aktivert, og deretter utnyttet usikrede administratorkontoer for å få første tilgang.
Angriperne var senere i stand til å lage en ondsinnet OAuth-app, som la til en ondsinnet innkommende kobling i e-postserveren.
Modifisert servertilgang
"Disse endringene i Exchange-serverinnstillingene gjorde det mulig for trusselaktøren å utføre sitt primære mål i angrepet: å sende ut spam-e-poster," bemerket forskerne i et blogginnlegg 22. september. «Spam-e-postene ble sendt som en del av et villedende konkurranseopplegg som var ment å lure mottakere til å registrere seg for tilbakevendende betalte abonnementer.»
Forskerteamet konkluderte med at hackerens motiv var å spre misvisende spam-meldinger om konkurranser, og få ofre til å utlevere kredittkortinformasjon for å muliggjøre et tilbakevendende abonnement som ville gi dem «sjansen til å vinne en premie».
"Selv om ordningen sannsynligvis resulterte i uønskede anklager mot mål, var det ingen bevis for åpenbare sikkerhetstrusler som phishing eller distribusjon av skadelig programvare," bemerket forskerteamet.
Innlegget påpekte også at en voksende populasjon av ondsinnede aktører har distribuert OAuth-applikasjoner for ulike kampanjer, fra bakdører og phishing-angrep til kommando-og-kontroll (C2) kommunikasjon og omdirigering.
Microsoft anbefalte å implementere sikkerhetspraksis som MFA som styrker kontolegitimasjonen, samt retningslinjer for betinget tilgang og kontinuerlig tilgangsevaluering (CAE).
"Mens oppfølgende spam-kampanje retter seg mot forbruker-e-postkontoer, er dette angrepet rettet mot bedriftseiere som skal brukes som infrastruktur for denne kampanjen," la forskerteamet til. "Dette angrepet avslører dermed sikkerhetssvakheter som kan brukes av andre trusselaktører i angrep som direkte kan påvirke berørte virksomheter."
MFA kan hjelpe, men ytterligere retningslinjer for tilgangskontroll kreves
"Selv om MFA er en god start og kunne ha hjulpet Microsoft i denne saken, har vi nylig sett i nyhetene at ikke all MFA er like", bemerker David Lindner, CISO ved Contrast Security. "Som en sikkerhetsorganisasjon er det på tide at vi tar utgangspunkt i 'brukernavnet og passordet er kompromittert' og bygger kontroller rundt det."
Lindner sier at sikkerhetsfellesskapet må starte med noe grunnleggende og følge prinsippet om minste privilegium for å lage passende, forretningsdrevne, rollebaserte tilgangskontrollpolicyer.
"Vi må sette passende tekniske kontroller som MFA - FIDO2 som ditt beste alternativ - enhetsbasert autentisering, tidsavbrudd for økter, og så videre," legger han til.
Til slutt må organisasjoner overvåke for uregelmessigheter som "umulige pålogginger" (dvs. påloggingsforsøk til samme konto fra for eksempel Boston og Dallas, som er 20 minutter fra hverandre); brute-force forsøk; og bruker forsøker å få tilgang til uautoriserte systemer.
"Vi kan gjøre det, og vi kan øke sikkerhetsstillingen til en organisasjon betraktelig over natten ved å stramme inn autentiseringsmekanismene våre," sier Lindner.
