Flera molnhyresgäster som är värd för Microsoft Exchange-servrar har äventyrats av illvilliga aktörer som använder OAuth-appar för att sprida skräppost.
Microsoft Exchange-servrar som används för att sprida skräppost
Den 23 september 2022 angavs i en Microsoft Security-blogginlägg att angriparens "hotskådespelare lanserade inloggningsattacker mot högriskkonton som inte hade multifaktorautentisering (MFA) aktiverade och utnyttjade de osäkra administratörskontona för att få första åtkomst".
Genom att komma åt molnhyresgästen kunde angriparen registrera en falsk OAuth-applikation med förhöjda behörigheter. Angriparen lade sedan till en skadlig inkommande anslutning inom servern, samt transportregler, vilket gav dem möjligheten att sprida skräppost via riktade domäner samtidigt som de undviker upptäckt. Den inkommande anslutningen och transportreglerna raderades också mellan varje kampanj för att hjälpa angriparen att flyga under radarn.
För att utföra denna attack kunde hotaktören dra fördel av högriskkonton som inte använde multifaktorautentisering. Denna spam var en del av ett system som användes för att lura offer att registrera sig för långtidsprenumerationer.
OAuth-autentiseringsprotokoll används allt oftare vid attacker
I det tidigare nämnda blogginlägget uppgav Microsoft också att de har "övervakat den ökande populariteten för missbruk av OAuth-applikationer". OAuth är ett protokoll som används för att samtycka till webbplatser eller applikationer utan att behöva avslöja ditt lösenord. Men detta protokoll har missbrukats av en hotaktör flera gånger för att stjäla data och pengar.
Tidigare använde skadliga aktörer en skadlig OAuth-applikation i en bluff som kallas "samtyckesnätfiske". Detta innebar att man lurade offer att ge vissa behörigheter till skadliga OAuth-appar. Genom detta kunde angriparen komma åt offrens molntjänster. Under de senaste åren har fler och fler cyberkriminella använt skadliga OAuth-appar för att lura användare, ibland för att bedriva nätfiske, och ibland för andra ändamål, såsom bakdörrar och omdirigeringar.
Skådespelaren bakom denna attack har kört tidigare spamkampanjer
Microsoft har upptäckt att hotaktören som var ansvarig för Exchange-attacken hade kört spam-e-postkampanjer under en tid. Det stod i detsamma Microsoft Security-blogginlägg att det finns två kännetecken förknippade med denna angripare. Hotaktören "genererar programmatiskt[s] meddelanden som innehåller två synliga hyperlänkade bilder i e-postmeddelandet body", och använder "dynamiskt och slumpmässigt innehåll som injiceras i HTML-kroppen i varje e-postmeddelande för att undvika skräppost filter".
Även om dessa kampanjer har använts för att komma åt kreditkortsinformation och lura användare att börja betala prenumerationer, uppgav Microsoft att det inte verkar finnas några ytterligare säkerhetshot från just detta angripare.
Legitima appar fortsätter att utnyttjas av angripare
Att skapa falska, skadliga versioner av betrodda appar är inget nytt i cyberbrottsområdet. Att använda ett legitimt namn för att lura offer har varit en favorit bedrägerimetod i många år, med människor runt om i världen som faller för sådana bedrägerier dagligen. Det är därför det är ytterst viktigt för alla internetanvändare att använda lämpliga säkerhetsåtgärder (inklusive multifaktorautentisering) på sina konton och enheter så att chansen att råka ut för en cyberattack är sänkta.
