攻击者正在受感染的云租户上部署恶意 OAuth 应用程序,目的是接管 Microsoft Exchange Server 来传播垃圾邮件。
这是根据 Microsoft 365 Defender 研究团队的说法,该团队本周详细介绍了如何针对未启用多因素身份验证 (MFA) 的高风险帐户发起凭据填充攻击,然后利用不安全的管理员帐户获得初始访问权限。
攻击者随后能够创建一个恶意 OAuth 应用程序,该应用程序在电子邮件服务器中添加了一个恶意入站连接器。
修改后的服务器访问
研究人员指出:“这些对 Exchange 服务器设置的修改使威胁参与者能够执行其攻击的主要目标:发送垃圾邮件。” 在一篇博客文章 22 月 XNUMX 日。“垃圾邮件是作为欺骗性抽奖计划的一部分发送的,旨在诱骗收件人注册定期付费订阅。”
研究小组得出的结论是,黑客的动机是传播有关抽奖活动的误导性垃圾邮件,诱使受害者交出信用卡信息,以实现定期订阅,从而为他们提供“赢得奖品的机会”。
研究小组指出:“虽然该计划可能会对目标造成不必要的指控,但没有证据表明存在明显的安全威胁,例如凭据网络钓鱼或恶意软件分发。”
该帖子还指出,越来越多的恶意行为者一直在为各种活动部署 OAuth 应用程序,从后门和网络钓鱼攻击到命令和控制 (C2) 通信和重定向。
Microsoft 建议实施 MFA 等安全实践来加强帐户凭据,以及条件访问策略和持续访问评估 (CAE)。
研究团队补充说:“虽然后续垃圾邮件活动针对的是消费者电子邮件帐户,但这次攻击的目标是企业租户,以用作该活动的基础设施。” “因此,这种攻击暴露了安全弱点,其他威胁参与者可能会在可能直接影响受影响企业的攻击中使用这些弱点。”
MFA 可以提供帮助,但需要额外的访问控制策略
“虽然 MFA 是一个很好的开始,在这种情况下本可以帮助微软,但我们最近在新闻中看到, 并非所有的 MFA 都是相同的,”Contrast Security 的首席信息安全官 David Lindner 指出。 “作为一个安全组织,是时候从‘用户名和密码被泄露’开始,并围绕它建立控制了。”
Lindner 说,安全社区需要从一些基础开始,遵循最小权限原则来创建适当的、业务驱动的、基于角色的访问控制策略。
“我们需要设置适当的技术控制,例如 MFA — FIDO2 作为您的最佳选择 — 基于设备的身份验证、会话超时等,”他补充道。
最后,组织需要监控异常情况,例如“不可能登录”(例如,从波士顿和达拉斯尝试登录同一帐户,相隔 20 分钟); 蛮力尝试; 和用户试图访问未经授权的系统。
“我们可以做到,通过加强我们的身份验证机制,我们可以在一夜之间极大地提高组织的安全状况,”林德纳说。