Зловмисники розгортають шкідливі програми OAuth на скомпрометованих клієнтах хмари з метою захопити сервери Microsoft Exchange Server для поширення спаму.
Це згідно з даними дослідницької групи Microsoft 365 Defender, яка цього тижня детально описала, як атаки з використанням облікових даних були запущені проти облікових записів із високим ризиком, для яких не ввімкнено багатофакторну автентифікацію (MFA), а потім використовувалися незахищені облікові записи адміністраторів для отримання початкового доступу.
Згодом зловмисники змогли створити шкідливу програму OAuth, яка додала шкідливий вхідний конектор на сервер електронної пошти.
Змінений доступ до сервера
«Ці модифікації налаштувань сервера Exchange дозволили зловмисникам виконати свою основну мету атаки: розсилати спам», — зазначили дослідники. у своєму блозі 22 вересня. «Спам-лист було надіслано як частина оманливої схеми тоталізаторів, яка мала на меті змусити одержувачів підписатися на регулярні платні підписки».
Дослідницька група дійшла висновку, що мотивом хакера було розповсюдження оманливих спам-повідомлень про тоталізатори, спонукання жертв передати інформацію про кредитні картки, щоб увімкнути повторювану підписку, яка дасть їм «шанс виграти приз».
«Хоча схема, ймовірно, призвела до небажаних стягнень з цілей, не було жодних доказів явних загроз безпеці, таких як фішинг облікових даних або розповсюдження шкідливого програмного забезпечення», — зазначила дослідницька група.
У дописі також наголошується, що зростаюча кількість зловмисників розгортає додатки OAuth для різних кампаній, від бекдорів і фішингових атак до командно-контрольного (C2) зв’язку та перенаправлення.
Корпорація Майкрософт рекомендує запровадити методи безпеки, такі як MFA, які покращують облікові дані облікового запису, а також політики умовного доступу та постійну оцінку доступу (CAE).
«У той час як подальша спам-кампанія націлена на облікові записи електронної пошти споживачів, ця атака націлена на корпоративних орендарів для використання в якості інфраструктури для цієї кампанії», — додала дослідницька група. «Таким чином, ця атака виявляє слабкі сторони безпеки, які можуть бути використані іншими суб’єктами загрози в атаках, які можуть безпосередньо вплинути на постраждалі підприємства».
MFA може допомогти, але потрібні додаткові політики контролю доступу
«Хоча MFA є чудовим початком і могло б допомогти Microsoft у цій справі, нещодавно ми бачили в новинах, що не всі МЗС однакові”, – зазначає Девід Лінднер, керівник відділу інформаційних технологій Contrast Security. «Як організації безпеки, настав час почати з «ім’я користувача та пароль скомпрометовано» та створювати засоби контролю навколо цього».
Лінднер каже, що спільнота безпеки має почати з деяких основ і слідувати принципу найменших привілеїв, щоб створити відповідні, орієнтовані на бізнес і рольові політики контролю доступу.
«Нам потрібно встановити відповідні технічні елементи керування, такі як MFA — FIDO2 як найкращий варіант — автентифікація на основі пристрою, тайм-аут сеансу тощо», — додає він.
Нарешті, організаціям необхідно відстежувати аномалії, такі як «неможливі входи» (тобто спроби входу в той самий обліковий запис із, скажімо, Бостона та Далласа, з різницею в 20 хвилин); спроби грубої сили; і спроби користувачів отримати доступ до несанкціонованих систем.
«Ми можемо це зробити, і ми можемо значно підвищити рівень безпеки організації за одну ніч, посиливши наші механізми автентифікації», — говорить Лінднер.
