Злоумышленники развертывают вредоносные приложения OAuth на скомпрометированных облачных арендаторах с целью захвата серверов Microsoft Exchange для распространения спама.
Об этом сообщает исследовательская группа Microsoft 365 Defender, которая на этой неделе подробно описала, как атаки с подстановкой учетных данных были запущены против учетных записей с высоким риском, для которых не включена многофакторная проверка подлинности (MFA), а затем использовались незащищенные учетные записи администратора для получения первоначального доступа.
Злоумышленники впоследствии смогли создать вредоносное приложение OAuth, которое добавило вредоносный коннектор входящей почты на сервер электронной почты.
Модифицированный доступ к серверу
«Эти изменения в настройках сервера Exchange позволили злоумышленнику выполнить свою основную цель атаки: рассылать спам по электронной почте», — отметили исследователи. в блоге 22 сентября. «Спам-письма были отправлены как часть мошеннической схемы розыгрыша, призванной обманом заставить получателей подписаться на повторяющиеся платные подписки».
Исследовательская группа пришла к выводу, что мотив хакера состоял в том, чтобы распространять вводящие в заблуждение спам-сообщения о лотереях, побуждая жертв передавать информацию о кредитной карте, чтобы активировать повторяющуюся подписку, которая давала им «шанс выиграть приз».
«Хотя эта схема, вероятно, привела к нежелательным платежам для целей, не было никаких доказательств явных угроз безопасности, таких как фишинг учетных данных или распространение вредоносного ПО», — отметила исследовательская группа.
В сообщении также указывалось, что растущее число злоумышленников развертывает приложения OAuth для различных кампаний, от бэкдоров и фишинговых атак до командно-контрольной связи (C2) и перенаправлений.
Microsoft рекомендовала внедрить методы безопасности, такие как MFA, которые укрепляют учетные данные, а также политики условного доступа и непрерывную оценку доступа (CAE).
«В то время как последующая спам-кампания нацелена на учетные записи электронной почты потребителей, эта атака нацелена на корпоративных клиентов, которые будут использоваться в качестве инфраструктуры для этой кампании», — добавила исследовательская группа. «Таким образом, эта атака выявляет слабые места в безопасности, которые могут быть использованы другими субъектами угроз в атаках, которые могут напрямую повлиять на затронутые предприятия».
MFA может помочь, но требуются дополнительные политики контроля доступа
«Хотя MFA — отличное начало и могло бы помочь Microsoft в этом случае, мы недавно видели в новостях, что не все МФА одинаковы», — отмечает Дэвид Линднер, директор по информационной безопасности компании Contrast Security. «Нам как организации, занимающейся безопасностью, пора начать с того, что «имя пользователя и пароль скомпрометированы», и создать вокруг этого средства контроля».
Линднер говорит, что сообщество безопасности должно начать с некоторых основ и следовать принципу наименьших привилегий, чтобы создать соответствующие бизнес-ориентированные политики управления доступом на основе ролей.
«Нам нужно установить соответствующие технические средства управления, такие как MFA — FIDO2 как лучший вариант — аутентификацию на основе устройства, тайм-ауты сеанса и т. д.», — добавляет он.
Наконец, организациям необходимо отслеживать аномалии, такие как «невозможные входы в систему» (т. е. попытки входа в одну и ту же учетную запись, скажем, из Бостона и Далласа с разницей в 20 минут); попытки грубой силы; и попытки пользователя получить доступ к неавторизованным системам.
«Мы можем это сделать, и мы можем значительно повысить уровень безопасности организации за одну ночь, ужесточив наши механизмы аутентификации», — говорит Линднер.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов