Napadalci nameščajo zlonamerne aplikacije OAuth na ogrožene najemnike oblaka s ciljem prevzeti strežnike Microsoft Exchange za širjenje neželene pošte.
To je glede na raziskovalno skupino Microsoft 365 Defender, ki je ta teden podrobno opisala, kako so bili napadi s polnjenjem poverilnic sproženi proti računom z visokim tveganjem, ki nimajo omogočene večfaktorske avtentikacije (MFA), nato pa so za pridobitev začetnega dostopa uporabili nezavarovane skrbniške račune.
Napadalcem je nato uspelo ustvariti zlonamerno aplikacijo OAuth, ki je v e-poštni strežnik dodala zlonamerni vhodni konektor.
Spremenjen dostop do strežnika
"Te spremembe nastavitev strežnika Exchange so akterju grožnje omogočile, da izvede svoj glavni cilj v napadu: pošiljanje vsiljene e-pošte," so ugotovili raziskovalci. v blog post 22. septembra. »Neželena e-pošta je bila poslana kot del zavajajoče sheme nagradnih iger, s katero naj bi prejemnike pretentali, da bi se prijavili na ponavljajoče se plačljive naročnine.«
Raziskovalna skupina je sklenila, da je bil hekerjev motiv širjenje zavajajočih neželenih sporočil o nagradnih igrah, s čimer so žrtve napeljali k predaji podatkov o kreditni kartici, da bi omogočili ponavljajočo se naročnino, ki bi jim ponudila »možnost za osvojitev nagrade«.
"Čeprav je shema verjetno povzročila neželene stroške tarčam, ni bilo dokazov o očitnih varnostnih grožnjah, kot je lažno predstavljanje poverilnic ali distribucija zlonamerne programske opreme," je ugotovila raziskovalna skupina.
Objava je tudi poudarila, da naraščajoča populacija zlonamernih akterjev uvaja aplikacije OAuth za različne kampanje, od zakulisnih vrat in napadov z lažnim predstavljanjem do komunikacije in preusmeritev ukazov in nadzora (C2).
Microsoft je priporočil izvajanje varnostnih praks, kot je MFA, ki krepijo poverilnice računa, pa tudi pravilnike o pogojnem dostopu in stalno ocenjevanje dostopa (CAE).
"Medtem ko je nadaljnja kampanja z neželeno pošto usmerjena na potrošniške e-poštne račune, je ta napad usmerjen na poslovne najemnike, ki jih bodo uporabili kot infrastrukturo za to kampanjo," je dodala raziskovalna skupina. "Ta napad tako razkriva varnostne pomanjkljivosti, ki bi jih lahko uporabili drugi akterji groženj v napadih, ki bi lahko neposredno vplivali na prizadeta podjetja."
MFA lahko pomaga, vendar so potrebni dodatni pravilniki za nadzor dostopa
»Medtem ko je MFA odličen začetek in bi lahko pomagal Microsoftu v tem primeru, smo nedavno v novicah videli, da niso vse MFA enake,« ugotavlja David Lindner, CISO pri Contrast Security. "Kot varnostna organizacija je čas, da začnemo z 'uporabniško ime in geslo sta ogrožena' in zgradimo nadzor okoli tega."
Lindner pravi, da mora varnostna skupnost začeti z nekaj osnovami in slediti načelu najmanjših privilegijev, da ustvari ustrezne, poslovno usmerjene politike nadzora dostopa, ki temeljijo na vlogah.
»Nastaviti moramo ustrezne tehnične kontrole, kot je MFA — FIDO2 kot vaša najboljša možnost — preverjanje pristnosti na podlagi naprave, časovne omejitve sej in tako naprej,« dodaja.
Nazadnje, organizacije morajo spremljati anomalije, kot so "nemogoče prijave" (tj. poskusi prijave v isti račun iz, na primer, Bostona in Dallasa, ki so 20 minut narazen); poskusi s surovo silo; in poskusi uporabnikov dostopa do nepooblaščenih sistemov.
»Zmoremo in čez noč lahko močno povečamo varnostno držo organizacije s poostritvijo naših mehanizmov za preverjanje pristnosti,« pravi Lindner.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
