Angripare distribuerar skadliga OAuth-applikationer på utsatta molnhyresgäster, med målet att ta över Microsoft Exchange-servrar för att sprida skräppost.
Det är enligt Microsoft 365 Defender Research Team, som den här veckan beskrev hur autentiseringsattacker har lanserats mot högriskkonton som inte har multifaktorautentisering (MFA) aktiverad, och sedan utnyttja osäkra administratörskonton för att få första åtkomst.
Angriparna kunde därefter skapa en skadlig OAuth-app, som lade till en skadlig inkommande anslutning i e-postservern.
Modifierad serveråtkomst
"Dessa ändringar av Exchange-serverinställningarna gjorde det möjligt för hotaktören att utföra sitt primära mål i attacken: att skicka ut skräppost", noterade forskarna i ett blogginlägg den 22 september. "Spam-e-postmeddelandena skickades som en del av ett bedrägligt utlottningssystem för att lura mottagare att registrera sig för återkommande betalprenumerationer."
Forskargruppen drog slutsatsen att hackarens motiv var att sprida vilseledande spammeddelanden om utlottningar, vilket förmår offren att lämna över kreditkortsinformation för att möjliggöra en återkommande prenumeration som skulle erbjuda dem "chansen att vinna ett pris."
"Även om schemat sannolikt resulterade i oönskade anklagelser mot mål, fanns det inga bevis för uppenbara säkerhetshot som nätfiske eller distribution av skadlig programvara", konstaterade forskargruppen.
Inlägget påpekade också att en växande population av illvilliga aktörer har distribuerat OAuth-applikationer för olika kampanjer, från bakdörrar och nätfiskeattacker till kommando-och-kontroll (C2) kommunikation och omdirigering.
Microsoft rekommenderade att implementera säkerhetsrutiner som MFA som stärker kontouppgifterna, såväl som policyer för villkorad åtkomst och kontinuerlig åtkomstutvärdering (CAE).
"Medan den uppföljande spamkampanjen riktar sig mot konsumenters e-postkonton, riktar denna attack sig mot företagshyresgäster att använda som infrastruktur för den här kampanjen", tillade forskargruppen. "Denna attack avslöjar således säkerhetsbrister som kan användas av andra hotaktörer i attacker som direkt kan påverka drabbade företag."
MFA kan hjälpa, men ytterligare åtkomstkontrollpolicyer krävs
"Medan MFA är en bra start och kunde ha hjälpt Microsoft i det här fallet, har vi sett i nyheterna nyligen att inte alla MFA är desamma”, konstaterar David Lindner, CISO på Contrast Security. "Som säkerhetsorganisation är det dags att vi utgår från 'användarnamnet och lösenordet är äventyrat' och bygger kontroller kring det."
Lindner säger att säkerhetsgemenskapen måste börja med några grunder och följa principen om minsta privilegium för att skapa lämpliga, affärsdrivna, rollbaserade policyer för åtkomstkontroll.
"Vi måste ställa in lämpliga tekniska kontroller som MFA - FIDO2 som ditt bästa alternativ - enhetsbaserad autentisering, sessionstimeout och så vidare", tillägger han.
Slutligen måste organisationer övervaka avvikelser som "omöjliga inloggningar" (dvs. inloggningsförsök till samma konto från till exempel Boston och Dallas, med 20 minuters mellanrum); brute-force försök; och användare försöker komma åt obehöriga system.
"Vi kan göra det, och vi kan avsevärt öka en organisations säkerhetsställning över en natt genom att skärpa våra autentiseringsmekanismer", säger Lindner.
