Os invasores estão implantando aplicativos OAuth maliciosos em inquilinos de nuvem comprometidos, com o objetivo de assumir o controle dos Microsoft Exchange Servers para espalhar spam.
Isso é de acordo com a equipe de pesquisa do Microsoft 365 Defender, que detalhou esta semana como os ataques de preenchimento de credenciais foram lançados contra contas de alto risco que não possuem autenticação multifator (MFA) habilitada, aproveitando contas de administrador não seguras para obter acesso inicial.
Posteriormente, os invasores conseguiram criar um aplicativo OAuth malicioso, que adicionou um conector de entrada malicioso no servidor de e-mail.
Acesso ao Servidor Modificado
“Essas modificações nas configurações do servidor Exchange permitiram que o agente da ameaça realizasse seu objetivo principal no ataque: enviar e-mails de spam”, observaram os pesquisadores. em um post de blog em 22 de setembro. “Os e-mails de spam foram enviados como parte de um esquema de sorteio enganoso destinado a induzir os destinatários a se inscreverem em assinaturas pagas recorrentes.”
A equipe de pesquisa concluiu que o motivo do hacker era espalhar mensagens de spam enganosas sobre sorteios, induzindo as vítimas a entregar informações de cartão de crédito para permitir uma assinatura recorrente que lhes oferecesse “a chance de ganhar um prêmio”.
“Embora o esquema provavelmente tenha resultado em cobranças indesejadas aos alvos, não havia evidências de ameaças de segurança evidentes, como phishing de credenciais ou distribuição de malware”, observou a equipe de pesquisa.
A postagem também apontou que uma população crescente de agentes mal-intencionados está implantando aplicativos OAuth para várias campanhas, desde backdoors e ataques de phishing até comunicação e redirecionamentos de comando e controle (C2).
A Microsoft recomendou a implementação de práticas de segurança como MFA que fortalecem as credenciais da conta, bem como políticas de acesso condicional e avaliação de acesso contínuo (CAE).
“Enquanto a campanha de spam subsequente tem como alvo as contas de e-mail do consumidor, este ataque tem como alvo os locatários corporativos para usar como infraestrutura para esta campanha”, acrescentou a equipe de pesquisa. “Este ataque, portanto, expõe fraquezas de segurança que podem ser usadas por outros agentes de ameaças em ataques que podem impactar diretamente as empresas afetadas.”
A MFA pode ajudar, mas são necessárias políticas adicionais de controle de acesso
“Embora o MFA seja um ótimo começo e poderia ter ajudado a Microsoft neste caso, vimos nas notícias recentemente que nem todo MFA é igual”, observa David Lindner, CISO da Contrast Security. “Como uma organização de segurança, é hora de começarmos com 'o nome de usuário e a senha estão comprometidos' e criar controles em torno disso.”
Lindner diz que a comunidade de segurança precisa começar com alguns princípios básicos e seguir o princípio do menor privilégio para criar políticas de controle de acesso adequadas, orientadas aos negócios e baseadas em função.
“Precisamos definir controles técnicos apropriados como MFA — FIDO2 como sua melhor opção — autenticação baseada em dispositivo, tempo limite de sessão e assim por diante”, acrescenta.
Por fim, as organizações precisam monitorar anomalias como “logins impossíveis” (ou seja, tentativas de login na mesma conta de, digamos, Boston e Dallas, com 20 minutos de diferença); tentativas de força bruta; e tentativas do usuário de acessar sistemas não autorizados.
“Podemos fazer isso e podemos aumentar muito a postura de segurança de uma organização da noite para o dia reforçando nossos mecanismos de autenticação”, diz Lindner.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
