Flere cloud-lejere, der hoster Microsoft Exchange-servere, er blevet kompromitteret af ondsindede aktører, der bruger OAuth-apps til at sprede spam.
Microsoft Exchange-servere, der bruges til at sprede spam
Den 23. september 2022 hed det i en Microsoft Security blogindlæg at angriberens "trusselsaktør lancerede legitimationsfyldningsangreb mod højrisikokonti, der ikke havde multi-faktor autentificering (MFA) aktiveret og udnyttet de usikrede administratorkonti til at få indledende adgang".
Ved at få adgang til cloud-lejeren var angriberen i stand til at registrere en falsk OAuth-applikation med forhøjede tilladelser. Angriberen tilføjede derefter en ondsindet indgående forbindelse på serveren, samt transportregler, som gav dem mulighed for at sprede spam via målrettede domæner, mens de undgik opdagelse. Den indgående forbindelse og transportreglerne blev også slettet mellem hver kampagne for at hjælpe angriberen med at flyve under radaren.
For at udføre dette angreb var trusselsaktøren i stand til at drage fordel af højrisikokonti, der ikke brugte multifaktorgodkendelse. Denne spam var en del af en ordning, der blev brugt til at narre ofre til at tilmelde sig langtidsabonnementer.
OAuth-godkendelsesprotokol bruges i stigende grad i angreb
I det førnævnte blogindlæg udtalte Microsoft også, at det har "overvåget den stigende popularitet af OAuth-applikationsmisbrug". OAuth er en protokol der bruges til at give samtykke til websteder eller applikationer uden at skulle afsløre din adgangskode. Men denne protokol er blevet misbrugt af en trusselsaktør flere gange til at stjæle data og midler.
Tidligere brugte ondsindede aktører en ondsindet OAuth-applikation i en fidus kendt som "samtykke-phishing". Dette involverede at narre ofre til at give visse tilladelser til skadelige OAuth-apps. Herigennem kunne angriberen få adgang til ofrenes cloud-tjenester. I de senere år har flere og flere cyberkriminelle brugt ondsindede OAuth-apps til at snyde brugere, nogle gange for at udføre phishing, og nogle gange til andre formål, såsom bagdøre og omdirigeringer.
Skuespilleren bag dette angreb har kørt tidligere spamkampagner
Microsoft har fundet ud af, at trusselsaktøren, der er ansvarlig for Exchange-angrebet, havde kørt spam-e-mail-kampagner i nogen tid. Det stod i samme Microsoft Security blogindlæg at der er to kendetegn forbundet med denne angriber. Trusselsaktøren "genererer programmatisk meddelelser indeholdende to synlige hyperlinkede billeder i e-mailen body", og bruger "dynamisk og randomiseret indhold injiceret i HTML-teksten i hver e-mail for at undgå spam filtre".
Selvom disse kampagner er blevet brugt til at få adgang til kreditkortoplysninger og narre brugere til at begynde at betale abonnementer, udtalte Microsoft, at der ikke ser ud til at være nogen yderligere sikkerhedstrusler forbundet med denne særlige angriber.
Legitime apps bliver fortsat udnyttet af angribere
At skabe falske, ondsindede versioner af betroede apps er ikke noget nyt i cyberkriminalitetsområdet. At bruge et legitimt navn til at narre ofre har været en yndet svindelmetode i mange år, hvor mennesker rundt om i verden falder for sådanne svindel dagligt. Det er derfor, det er altafgørende for alle internetbrugere at anvende passende sikkerhedsforanstaltninger (inklusive multi-faktor autentificering) på deres konti og enheder, så chancerne for at løbe ind i et cyberangreb er sænket.