Πολλοί ενοικιαστές cloud που φιλοξενούν διακομιστές Microsoft Exchange έχουν παραβιαστεί από κακόβουλους παράγοντες που χρησιμοποιούν εφαρμογές OAuth για τη διάδοση ανεπιθύμητων μηνυμάτων.

Διακομιστές Microsoft Exchange που χρησιμοποιούνται για τη διάδοση ανεπιθύμητων μηνυμάτων

Στις 23 Σεπτεμβρίου 2022 αναφέρθηκε στο α Ανάρτηση ιστολογίου Microsoft Security ότι ο "ηθοποιός απειλών" του εισβολέα εξαπέλυσε επιθέσεις γεμίσματος διαπιστευτηρίων εναντίον λογαριασμών υψηλού κινδύνου που δεν είχαν έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) ενεργοποίησε και αξιοποίησε τους μη ασφαλείς λογαριασμούς διαχειριστή για να αποκτήσει αρχική πρόσβαση».

Με την πρόσβαση στον μισθωτή του cloud, ο εισβολέας μπόρεσε να καταχωρήσει μια ψεύτικη εφαρμογή OAuth με αυξημένα δικαιώματα. Στη συνέχεια, ο εισβολέας πρόσθεσε μια κακόβουλη εισερχόμενη σύνδεση εντός του διακομιστή, καθώς και κανόνες μεταφοράς, οι οποίοι του έδωσαν τη δυνατότητα να διαδίδουν ανεπιθύμητα μηνύματα μέσω στοχευμένων τομέων αποφεύγοντας τον εντοπισμό. Η εισερχόμενη σύνδεση και οι κανόνες μεταφοράς διαγράφηκαν επίσης μεταξύ κάθε εκστρατείας για να βοηθήσουν τον εισβολέα να πετάξει κάτω από το ραντάρ.

instagram viewer

Για να εκτελέσει αυτήν την επίθεση, ο παράγοντας απειλής μπόρεσε να εκμεταλλευτεί λογαριασμούς υψηλού κινδύνου που δεν χρησιμοποιούσαν έλεγχο ταυτότητας πολλαπλών παραγόντων. Αυτό το ανεπιθύμητο περιεχόμενο ήταν μέρος ενός προγράμματος που χρησιμοποιήθηκε για να εξαπατήσει τα θύματα ώστε να εγγραφούν σε μακροχρόνιες συνδρομές.

Το πρωτόκολλο ελέγχου ταυτότητας OAuth χρησιμοποιείται όλο και περισσότερο σε επιθέσεις

Πίστωση λογότυπου: Chris Messina/Wikimedia Commons

Στην προαναφερθείσα ανάρτηση ιστολογίου, η Microsoft δήλωσε επίσης ότι "παρακολουθεί την αυξανόμενη δημοτικότητα της κατάχρησης εφαρμογών OAuth". Το OAuth είναι ένα πρωτόκολλο που χρησιμοποιείται για τη συναίνεση σε ιστότοπους ή εφαρμογές χωρίς να χρειάζεται να αποκαλύψετε τον κωδικό πρόσβασής σας. Αλλά αυτό το πρωτόκολλο έχει γίνει κατάχρηση από έναν παράγοντα απειλών πολλές φορές για την κλοπή δεδομένων και κεφαλαίων.

Προηγουμένως, κακόβουλοι ηθοποιοί χρησιμοποιούσαν μια κακόβουλη εφαρμογή OAuth σε μια απάτη γνωστή ως "ψάρεμα συναίνεσης". Αυτό περιελάμβανε εξαπάτηση των θυμάτων ώστε να παραχωρήσουν ορισμένες άδειες σε επιβλαβείς εφαρμογές OAuth. Μέσω αυτού, ο εισβολέας μπορούσε να έχει πρόσβαση στις υπηρεσίες cloud των θυμάτων. Τα τελευταία χρόνια, όλο και περισσότεροι κυβερνοεγκληματίες χρησιμοποιούν κακόβουλες εφαρμογές OAuth για απάτη χρήστες, άλλοτε για διεξαγωγή phishing και άλλοτε για άλλους σκοπούς, όπως backdoors και ανακατευθύνσεις.

Ο ηθοποιός πίσω από αυτήν την επίθεση έχει πραγματοποιήσει προηγούμενες καμπάνιες ανεπιθύμητης αλληλογραφίας

Η Microsoft ανακάλυψε ότι ο παράγοντας απειλής που ευθύνεται για την επίθεση στο Exchange είχε εκτελέσει καμπάνιες ανεπιθύμητης αλληλογραφίας για αρκετό καιρό. Αναφερόταν στο ίδιο Ανάρτηση ιστολογίου Microsoft Security ότι υπάρχουν δύο χαρακτηριστικά που σχετίζονται με αυτόν τον εισβολέα. Ο παράγοντας απειλής "δημιουργεί μέσω προγραμματισμού μηνύματα που περιέχουν δύο ορατές υπερσυνδεδεμένες εικόνες στο email body" και χρησιμοποιεί "δυναμικό και τυχαίο περιεχόμενο που εισάγεται στο σώμα HTML κάθε μηνύματος αλληλογραφίας για την αποφυγή ανεπιθύμητων μηνυμάτων φίλτρα».

Αν και αυτές οι καμπάνιες έχουν χρησιμοποιηθεί για πρόσβαση σε πληροφορίες πιστωτικών καρτών και εξαπάτηση των χρηστών ώστε να αρχίσουν να πληρώνουν συνδρομές, η Microsoft δήλωσε ότι δεν φαίνεται να υπάρχουν περαιτέρω απειλές για την ασφάλεια από το συγκεκριμένο επιτεθείς.

Οι νόμιμες εφαρμογές συνεχίζουν να τυγχάνουν εκμετάλλευσης από εισβολείς

Η δημιουργία ψεύτικων, κακόβουλων εκδόσεων αξιόπιστων εφαρμογών δεν είναι κάτι νέο στον χώρο του εγκλήματος στον κυβερνοχώρο. Η χρήση ενός νόμιμου ονόματος για την εξαπάτηση των θυμάτων είναι μια αγαπημένη μέθοδος απάτης για πολλά χρόνια, με ανθρώπους σε όλο τον κόσμο να πέφτουν σε τέτοιες απάτες σε καθημερινή βάση. Αυτός είναι ο λόγος για τον οποίο είναι πρωταρχικής σημασίας για όλους τους χρήστες του Διαδικτύου να χρησιμοποιούν επαρκή μέτρα ασφαλείας (συμπεριλαμβανομένων έλεγχος ταυτότητας πολλαπλών παραγόντων) στους λογαριασμούς και τις συσκευές τους, έτσι ώστε να υπάρχουν πιθανότητες να αντιμετωπίσετε μια κυβερνοεπίθεση χαμηλώνονται.