Чаму MFA мае значэнне: гэтыя зламыснікі ўзламалі ўліковыя запісы адміністратара, а затым выкарыстоўвалі Exchange для рассылання спаму

Microsoft выкрыла хітры выпадак злоўжывання праграмай OAuth, які дазволіў зламыснікам пераналадзіць сервер Exchange ахвяры для рассылання спаму.     

Сэнс прадуманай атакі заключаўся ў тым, каб масавы спам - прасоўванне фальшывага розыгрышу - выглядаў так, быццам ён паходзіў са скампраметаванага дамена Exchange, а не з фактычнага паходжання, якім быў альбо іх уласны IP-адрас, альбо староннія маркетынгавыя службы электроннай пошты, паведамляе Microsoft . 

Хітрасць з розыгрышам выкарыстоўвалася, каб падманам прымусіць атрымальнікаў даць дадзеныя крэдытнай карты і падпісацца на перыядычную падпіску. 

«Нягледзячы на ​​тое, што схема, магчыма, прывяла да непажаданых спагнанняў з аб'ектаў, не было ніякіх доказаў відавочных пагроз бяспецы, такіх як фішынг уліковых дадзеных або распаўсюджванне шкоднасных праграм», - заявіла даследчая група Microsoft 365 Defender.

Такім чынам: Што, уласна, такое кібербяспека? І чаму гэта важна?

Каб прымусіць сервер Exchange адпраўляць спам, зламыснікі спачатку скампраметавалі дрэнна абаронены воблачны кліент, а затым атрымалі доступ да прывілеяваных уліковых запісаў карыстальнікаў для стварэння шкоднасных і прывілеяваных прыкладанняў OAuth у асяроддзі. OAuth apps дазволіць карыстальнікам даваць абмежаваны доступ іншым apps, але зламыснікі выкарысталі гэта па-іншаму. 

Ні ў адным з мэтавых уліковых запісаў адміністратараў не была ўключана шматфактарная аўтэнтыфікацыя (MFA), якая магла б спыніць атакі.

«Важна таксама адзначыць, што ва ўсіх узламаных адміністратараў не быў уключаны MFA, які мог спыніць атаку. Гэтыя назіранні ўзмацняюць важнасць абароны ўліковых запісаў і маніторынгу для карыстальнікаў з высокай рызыкай, асабліва тых, хто мае высокія прывілеі», - заявілі ў Microsoft.

Апынуўшыся ўнутры, яны выкарысталі Azure Active Directory (AAD), каб зарэгістраваць праграму, дадалі дазвол на аўтэнтыфікацыю толькі праграмы для модуля Exchange Online PowerShell, далі згоду адміністратара на гэты дазвол, а затым далі ролі глабальнага адміністратара і адміністратара Exchange нядаўна зарэгістраваным дадатак.       

«Актор пагрозы дадаў свае ўласныя ўліковыя дадзеныя ў дадатак OAuth, што дазволіла ім атрымаць доступ да прыкладання, нават калі першапачаткова скампраметаваны глабальны адміністратар змяніў свой пароль», - адзначае Microsoft. 

«Згаданыя дзеянні далі ўдзельніку пагрозы кантроль над вельмі прывілеяваным дадаткам».

З усім гэтым зламыснікі выкарыстоўвалі праграму OAuth для падлучэння да модуля Exchange Online PowerShell і змены налад Exchange, каб сервер накіроўваў спам з іх уласных IP-адрасоў, звязаных з інфраструктурай зламысніка. 

Для гэтага яны выкарысталі функцыю сервера Exchange пад назвай «Раздымы» для наладжвання спосабу перадачы электроннай пошты ў і з арганізацый, якія выкарыстоўваюць Microsoft 365/Office 365. Акцёр стварыў новы ўваходны злучальнік і наладзіў дзясятак «транспартныя правілы” для Exchange Online, які выдаліў набор загалоўкаў у спаме, які адпраўляецца Exchange, каб павысіць узровень поспеху спам-кампаніі. Выдаленне загалоўкаў дазваляе электроннай пошце пазбегнуць выяўлення прадуктамі бяспекі. 

«Пасля кожнай спам-кампаніі акцёр выдаляў шкоднасны ўваходны злучальнік і правілы транспарту, каб прадухіліць выяўленне, у той час як прыкладанне заставалася разгорнутым у арандатары да наступнай хвалі атакі (у некаторых выпадках прыкладанне было ў рэжыме спакою на працягу некалькіх месяцаў, перш чым было выкарыстана паўторна). суб'ектам пагрозы), - тлумачыць Microsoft.    

У мінулым годзе Microsoft падрабязна апісала, як зламыснікі злоўжывалі OAuth для фішынгу згоды. Іншыя вядомыя спосабы выкарыстання прыкладанняў OAuth у зламысных мэтах ўключаюць камандна-кантрольную (C2) сувязь, бэкдоры, фішынг і перанакіраванні. Нават Nobelium, група, якая атакавала SolarWinds падчас атакі на ланцужок паставак, зрабіла гэта злоўжываў OAuth, каб уключыць больш шырокія атакі.