Защо MFA има значение: Тези нападатели са разбили администраторски акаунти, след което са използвали Exchange за изпращане на спам

Microsoft разкри хитър случай на злоупотреба с приложение OAuth, който позволи на нападателите да преконфигурират Exchange сървъра на жертвата, за да изпраща спам.     

Целта на сложната атака беше масовият спам – насърчаване на фалшива лотария – да изглежда така, сякаш идва от компрометирания домейн на Exchange, а не от действителния произход, който е или техният собствен IP адрес, или услуги за имейл маркетинг на трети страни, според Microsoft . 

Уловката на лотарията беше използвана, за да подмамят получателите да предоставят данни за кредитна карта и да се регистрират за повтарящи се абонаменти. 

„Въпреки че схемата вероятно е довела до нежелани такси за мишени, няма доказателства за явни заплахи за сигурността като фишинг на идентификационни данни или разпространение на злонамерен софтуер“, каза изследователският екип на Microsoft 365 Defender.

Също така: Какво всъщност представлява киберсигурността? И защо има значение?

За да накарат Exchange сървъра да изпраща техния спам, нападателите първо са компрометирали слабо защитения облачен клиент на целта и след това са получили достъп до привилегировани потребителски акаунти, за да създадат злонамерени и привилегировани OAuth приложения в средата. OAuth apps позволи на потребителите да предоставят ограничен достъп на други apps, но нападателите тук са го използвали по различен начин. 

Нито един от целевите администраторски акаунти не е имал включено многофакторно удостоверяване (MFA), което би могло да спре атаките.

„Също така е важно да се отбележи, че всички компрометирани администратори не са имали активиран MFA, което можеше да спре атаката. Тези наблюдения засилват значението на защитата на акаунтите и наблюдението за потребители с висок риск, особено тези с високи привилегии“, каза Microsoft.

Веднъж вътре, те използваха Azure Active Directory (AAD), за да регистрират приложението, добавиха разрешение за удостоверяване само на приложението на модула Exchange Online PowerShell, предоставиха администраторско съгласие за това разрешение и след това дадоха роли на глобален администратор и администратор на Exchange на новорегистрирания ап.       

„Акторът на заплахата добави свои собствени идентификационни данни към приложението OAuth, което им позволи достъп до приложението, дори ако първоначално компрометираният глобален администратор промени паролата си“, отбелязва Microsoft. 

„Споменатите дейности дадоха на заплахата контрол върху високо привилегировано приложение.“

С всичко това на място, атакуващите използваха приложението OAuth, за да се свържат с модула Exchange Online PowerShell и да променят настройките на Exchange, така че сървърът да насочва спама от техните собствени IP адреси, свързани с инфраструктурата на атакуващия. 

За да направят това, те използваха функция на Exchange сървър, наречена „конектори” за персонализиране на начина, по който имейлите протичат към и от организации, използващи Microsoft 365/Office 365. Актьорът създаде нов входящ конектор и настрои дузина „транспортни правила” за Exchange Online, който изтри набор от заглавки в маршрутизирания от Exchange нежелана поща, за да повиши процента на успех на спам кампанията. Премахването на заглавките позволява на имейла да избегне откриването от продуктите за сигурност. 

„След всяка спам кампания, актьорът изтриваше злонамерения входящ конектор и транспортните правила, за да предотврати откриването, докато приложението оставаше разгърнато в клиента до следващата вълна на атаката (в някои случаи приложението беше латентно месеци, преди да бъде използвано повторно от заплахата), обяснява Microsoft.    

Миналата година Microsoft описа подробно как нападателите злоупотребяват с OAuth за фишинг на съгласие. Други известни употреби на OAuth приложения за злонамерени цели включват командно-контролна (C2) комуникация, задни вратички, фишинг и пренасочвания. Дори Nobelium, групата, която атакува SolarWinds при атака на веригата за доставки, го направи злоупотреби с OAuth, за да позволи по-широки атаки.