Више закупаца у облаку који хостују Мицрософт Екцханге сервере компромитовали су злонамерни актери који користе ОАутх апликације за ширење нежељене поште.
Мицрософт Екцханге сервери који се користе за ширење нежељене поште
Дана 23. септембра 2022. године наведено је у а Пост на блогу Мицрософт Сецурити да је нападач „глумац претње покренуо нападе пуњења акредитива на високоризичне налоге који нису имали вишефакторска аутентикација (МФА) омогућио и искористио необезбеђене администраторске налоге да добије почетни приступ“.
Приступом закупцу облака, нападач је успео да региструје лажну ОАутх апликацију са повишеним дозволама. Нападач је затим додао злонамерни улазни конектор унутар сервера, као и правила транспорта, која су им дала могућност да шире нежељену пошту преко циљаних домена док избегавају откривање. Долазни конектор и правила транспорта су такође избрисани између сваке кампање како би се помогло нападачу да прође испод радара.
Да би извршио овај напад, актер претње је могао да искористи високоризичне налоге који нису користили вишефакторску аутентификацију. Ова нежељена пошта била је део шеме коришћене да се жртве преваре да се пријаве за дугорочне претплате.
ОАутх протокол за аутентификацију се све више користи у нападима
У претходно поменутом блог посту, Мицрософт је такође навео да је „пратио растућу популарност злоупотребе ОАутх апликација“. ОАутх је протокол који се користи за пристанак на веб-сајтове или апликације без потребе да откријете вашу лозинку. Али овај протокол је више пута злоупотребио актер претње да би украо податке и средства.
Раније су злонамерни актери користили злонамерну ОАутх апликацију у превари познатој као „пецање пристанка“. То је укључивало преваривање жртава да дају одређене дозволе штетним ОАутх апликацијама. На тај начин нападач може приступити услугама у облаку жртава. Последњих година, све више сајбер криминалаца користи злонамерне ОАутх апликације за превару корисника, понекад за пхисхинг, а понекад у друге сврхе, као што су бацкдоор и преусмеравања.
Глумац који стоји иза овог напада водио је претходне нежељене кампање
Мицрософт је открио да је актер претњи одговоран за напад на Екцханге већ неко време водио кампање нежељене е-поште. У истом је наведено Пост на блогу Мицрософт Сецурити да постоје два обележја повезана са овим нападачем. Актер претње „програмски генерише(е) поруке које садрже две видљиве слике са хиперлинковима у е-поруци тело“ и користи „динамичан и насумични садржај убачен у ХТМЛ тело сваке поруке е-поште да би избегао нежељену пошту филтери“.
Иако су ове кампање коришћене за приступ информацијама о кредитној картици и преваре кориснике да почну да плаћају претплате, Мицрософт је изјавио да изгледа да нема даљих безбедносних претњи које би представљала ова ствар нападач.
Нападачи и даље експлоатишу легитимне апликације
Стварање лажних, злонамерних верзија поузданих апликација није ништа ново у простору сајбер криминала. Коришћење легитимног имена за превару жртава је омиљени метод преваре дуги низ година, а људи широм света свакодневно падају на такве преваре. Због тога је од највеће важности за све кориснике интернета да примене адекватне мере безбедности (укључујући вишефакторска аутентикација) на својим налозима и уређајима како би се смањиле шансе да наиђу на сајбер напад спуштени су.
