Những kẻ tấn công đang triển khai các ứng dụng OAuth độc hại trên các đối tượng thuê đám mây bị xâm phạm, với mục tiêu chiếm lấy Máy chủ Microsoft Exchange để phát tán thư rác.
Đó là theo Nhóm nghiên cứu Bộ bảo vệ Microsoft 365, trong tuần này đã trình bày chi tiết cách các cuộc tấn công nhồi thông tin xác thực đã được khởi chạy đối với các tài khoản có rủi ro cao chưa bật xác thực đa yếu tố (MFA), sau đó tận dụng các tài khoản quản trị viên không bảo mật để có được quyền truy cập ban đầu.
Những kẻ tấn công sau đó có thể tạo một ứng dụng OAuth độc hại, ứng dụng này đã thêm một trình kết nối gửi đến độc hại trong máy chủ email.
Truy cập máy chủ đã sửa đổi
Các nhà nghiên cứu lưu ý: “Những sửa đổi này đối với cài đặt máy chủ Exchange cho phép tác nhân đe dọa thực hiện mục tiêu chính của chúng trong cuộc tấn công: gửi email rác”. trong một bài đăng blog vào ngày 22 tháng XNUMX. “Các email spam đã được gửi như một phần của kế hoạch rút thăm trúng thưởng lừa đảo nhằm lừa người nhận đăng ký các gói đăng ký trả phí định kỳ.”
Nhóm nghiên cứu kết luận rằng động cơ của tin tặc là phát tán các tin nhắn rác gây hiểu lầm về rút thăm trúng thưởng, khiến nạn nhân cung cấp thông tin thẻ tín dụng để kích hoạt đăng ký định kỳ mang lại cho họ “cơ hội giành được giải thưởng”.
Nhóm nghiên cứu lưu ý: “Mặc dù chương trình này có thể dẫn đến các khoản phí không mong muốn cho các mục tiêu, nhưng không có bằng chứng nào về các mối đe dọa bảo mật rõ ràng như lừa đảo thông tin xác thực hoặc phân phối phần mềm độc hại”.
Bài đăng cũng chỉ ra rằng ngày càng có nhiều tác nhân độc hại triển khai các ứng dụng OAuth cho nhiều chiến dịch khác nhau, từ các cuộc tấn công qua cửa hậu và lừa đảo đến chuyển hướng và liên lạc chỉ huy và kiểm soát (C2).
Microsoft đã khuyến nghị triển khai các biện pháp bảo mật như MFA để củng cố thông tin xác thực tài khoản, cũng như các chính sách truy cập có điều kiện và đánh giá quyền truy cập liên tục (CAE).
Nhóm nghiên cứu cho biết thêm: “Mặc dù chiến dịch thư rác tiếp theo nhắm mục tiêu vào các tài khoản email của người tiêu dùng, nhưng cuộc tấn công này nhắm vào những người thuê doanh nghiệp để sử dụng làm cơ sở hạ tầng cho chiến dịch này”. “Do đó, cuộc tấn công này làm lộ ra những điểm yếu bảo mật có thể được sử dụng bởi các tác nhân đe dọa khác trong các cuộc tấn công có thể ảnh hưởng trực tiếp đến các doanh nghiệp bị ảnh hưởng.”
MFA có thể trợ giúp nhưng cần có chính sách kiểm soát truy cập bổ sung
“Mặc dù MFA là một khởi đầu tuyệt vời và có thể giúp ích cho Microsoft trong trường hợp này, nhưng chúng tôi đã thấy trên các bản tin gần đây rằng không phải tất cả MFA đều giống nhau,” David Lindner, CISO tại Contrast Security lưu ý. “Là một tổ chức bảo mật, đã đến lúc chúng ta bắt đầu từ 'tên người dùng và mật khẩu bị xâm phạm' và xây dựng các biện pháp kiểm soát xung quanh vấn đề đó.”
Lindner cho biết cộng đồng bảo mật cần bắt đầu với một số điều cơ bản và tuân theo nguyên tắc đặc quyền tối thiểu để tạo ra các chính sách kiểm soát truy cập dựa trên vai trò, phù hợp với doanh nghiệp.
“Chúng tôi cần đặt các biện pháp kiểm soát kỹ thuật thích hợp như MFA — FIDO2 là tùy chọn tốt nhất của bạn — xác thực dựa trên thiết bị, thời gian chờ của phiên, v.v.,” anh ấy nói thêm.
Cuối cùng, các tổ chức cần theo dõi các điểm bất thường, chẳng hạn như “không thể đăng nhập” (nghĩa là các lần đăng nhập vào cùng một tài khoản từ Boston và Dallas, cách nhau 20 phút); những nỗ lực vũ phu; và người dùng cố gắng truy cập hệ thống trái phép.
Lindner nói: “Chúng tôi có thể làm được và chúng tôi có thể tăng cường đáng kể tình trạng bảo mật của một tổ chức chỉ sau một đêm bằng cách thắt chặt các cơ chế xác thực của mình.
