Pahatahtlikud osalejad, kes kasutavad rämpsposti levitamiseks OAuthi rakendusi, on ohustanud mitut Microsoft Exchange'i servereid majutavat pilveüürnikku.
Rämpsposti levitamiseks kasutatud Microsoft Exchange'i serverid
23. septembril 2022 märgiti a Microsofti turvalisuse ajaveebi postitus et ründaja "ähvardusnäitleja käivitas mandaadi täitmise rünnakud kõrge riskiga kontode vastu, millel ei olnud mitmefaktoriline autentimine (MFA) lubas ja kasutas esmase juurdepääsu saamiseks turvamata administraatorikontosid.
Pilveüürnikule juurde pääsedes suutis ründaja registreerida kõrgendatud õigustega võlts OAuthi rakenduse. Seejärel lisas ründaja serverisse pahatahtliku sissetuleva konnektori ja transpordireeglid, mis andsid neile võimaluse levitada rämpsposti sihitud domeenide kaudu, vältides samas tuvastamist. Samuti kustutati iga kampaania vahepeal sissetulev konnektor ja transpordireeglid, et aidata ründajal radari alla lennata.
Rünnaku sooritamiseks suutis ohus osaleja ära kasutada kõrge riskiga kontosid, mis ei kasutanud mitmefaktorilist autentimist. See rämpspost oli osa skeemist, mida kasutati ohvrite meelitamiseks pikaajaliste tellimuste jaoks registreeruma.
OAuthi autentimisprotokolli kasutatakse rünnakutes üha enam
Eespool nimetatud ajaveebipostituses teatas Microsoft ka, et on "jälginud OAuthi rakenduste kuritarvitamise populaarsuse kasvu". OAuth on protokoll mida kasutatakse veebisaitide või rakendustega nõustumiseks, ilma et peaksite oma parooli avaldama. Kuid ohus osaleja on seda protokolli mitu korda kuritarvitanud, et varastada andmeid ja raha.
Varem kasutasid pahatahtlikud osalejad pahatahtlikku OAuthi rakendust pettuses, mida tunti "nõusoleku andmepüügina". See hõlmas ohvrite meelitamist kahjulikele OAuthi rakendustele teatud lubade andmiseks. Selle kaudu pääses ründaja ligi ohvrite pilveteenustele. Viimastel aastatel on üha rohkem küberkurjategijaid kasutanud petmiseks pahatahtlikke OAuthi rakendusi. kasutajatele, mõnikord andmepüügi läbiviimiseks ja mõnikord muudel eesmärkidel, näiteks tagauksed ja ümbersuunamised.
Selle rünnaku taga olev näitleja on korraldanud varasemaid rämpspostikampaaniaid
Microsoft on avastanud, et Exchange'i rünnaku eest vastutav ohutegija oli juba mõnda aega rämpspostikampaaniaid korraldanud. See oli samas kirjas Microsofti turvalisuse ajaveebi postitus et selle ründajaga on seotud kaks tunnust. Ohustaja "genereerib programmiliselt sõnumeid, mis sisaldavad meilis kahte nähtavat hüperlingitud pilti keha" ja kasutab "dünaamilist ja juhuslikku sisu, mis sisestatakse iga kirja HTML-i sisusse, et vältida rämpsposti filtrid".
Kuigi neid kampaaniaid on kasutatud krediitkaarditeabele juurdepääsuks ja kasutajate meelitamiseks, et nad hakkaksid maksma tellimusi, teatas Microsoft, et see konkreetne ei paista täiendavaid turvaohtusid ründaja.
Ründajad kasutavad jätkuvalt seaduslikke rakendusi
Usaldusväärsete rakenduste võltsitud, pahatahtlike versioonide loomine pole küberkuritegevuse valdkonnas midagi uut. Legitiimse nime kasutamine ohvrite petmiseks on olnud lemmikpettusmeetod juba aastaid ning inimesed üle maailma satuvad sellistesse pettustesse iga päev. Seetõttu on ülimalt oluline, et kõik Interneti-kasutajad rakendaksid piisavaid turvameetmeid (sh mitmefaktoriline autentimine) oma kontodel ja seadmetes, nii et tekib võimalus sattuda küberrünnakusse on langetatud.