Miért számít az MFA? Ezek a támadók rendszergazdai fiókokat törtek fel, majd az Exchange segítségével spameket küldtek

A Microsoft felfedte az OAuth alkalmazással való visszaélés ravasz esetét, amely lehetővé tette a támadók számára, hogy átkonfigurálják az áldozat Exchange-kiszolgálóját a spam küldésére.     

A bonyolult támadás célja az volt, hogy a tömeges – hamis nyereményjátékot hirdető – spam úgy nézzen ki, mintha a feltört Exchange-domainből származna, nem pedig a tényleges eredetből, amely vagy a saját IP-címük, vagy harmadik féltől származó e-mail marketingszolgáltatások. . 

A nyereményjátékot arra használták, hogy rávegyék a címzetteket hitelkártyaadatok megadására és az ismétlődő előfizetésekre való feliratkozásra. 

"Bár a rendszer valószínűleg nemkívánatos díjakat vont maga után a célpontok számára, nem volt bizonyíték olyan nyílt biztonsági fenyegetésekre, mint a hitelesítő adatok adathalászata vagy rosszindulatú programok terjesztése" - mondta a Microsoft 365 Defender Research Team.

Továbbá: Mi is pontosan a kiberbiztonság? És miért számít?

Annak érdekében, hogy az Exchange-kiszolgáló elküldje a kéretlen leveleket, a támadók először feltörték a célpont gyengén védett felhőbérlőjét, majd hozzáférést nyertek privilegizált felhasználói fiókokhoz, hogy rosszindulatú és jogosultságokkal rendelkező OAuth-alkalmazásokat hozzanak létre a környezetben. OAuth apps a felhasználók korlátozott hozzáférést biztosíthatnak másoknak apps, de az itteni támadók másként használták. 

A megcélzott rendszergazdai fiókok egyikében sem volt bekapcsolva a többtényezős hitelesítés (MFA), ami megállíthatta volna a támadásokat.

„Azt is fontos megjegyezni, hogy a kompromittált adminisztrátorok nem rendelkeztek MFA-val, ami megállíthatta volna a támadást. Ezek a megfigyelések felerősítik a fiókok biztonságának és a megfigyelés fontosságát a magas kockázatú felhasználók, különösen a magas jogosultságokkal rendelkező felhasználók számára” – mondta a Microsoft.

A bejutást követően az Azure Active Directory (AAD) segítségével regisztrálták az alkalmazást, engedélyt adtak az Exchange Online PowerShell modul csak alkalmazásalapú hitelesítésére, adminisztrátori hozzájárulást adtak ehhez az engedélyhez, majd globális rendszergazdai és Exchange rendszergazdai szerepkört adtak az újonnan regisztráltnak. kb.       

"A fenyegetés szereplője hozzáadta a saját hitelesítő adatait az OAuth-alkalmazáshoz, amely lehetővé tette számukra, hogy akkor is hozzáférjenek az alkalmazáshoz, ha a kezdetben feltört globális rendszergazda megváltoztatta a jelszavát" - jegyzi meg a Microsoft. 

„Az említett tevékenységek a fenyegetés szereplőjének egy kiemelten kiemelt alkalmazás irányítását biztosították.”

Mindezek mellett a támadók az OAuth alkalmazás segítségével csatlakoztak az Exchange Online PowerShell modulhoz és megváltoztatták az Exchange beállításait, így a szerver a saját IP-címeikről irányította a spamet a támadó infrastruktúrájához kapcsolódóan. 

Ehhez egy Exchange szerver szolgáltatást használtak, a „csatlakozók” a Microsoft 365/Office 365 használatával a szervezetek felé és onnan érkező levelek áramlásának testreszabásához. A színész létrehozott egy új bejövő összekötőt, és beállított egy tucat „szállítási szabályokat” az Exchange Online számára, amely a spamkampány sikerességének növelése érdekében törölt egy fejlécet az Exchange által irányított spamből. A fejlécek eltávolítása lehetővé teszi, hogy az e-mail elkerülje a biztonsági termékek észlelését. 

„Minden spamkampány után a színész törölte a rosszindulatú bejövő csatlakozót és a szállítási szabályokat, hogy megakadályozza az észlelést, miközben az alkalmazás a bérlőben maradt a támadás következő hullámáig (egyes esetekben az alkalmazás hónapokig alvó volt, mielőtt újra felhasználták volna a fenyegetés szereplője)” – magyarázza a Microsoft.    

A Microsoft tavaly részletezte, hogy a támadók hogyan használták vissza az OAuth-t hozzájárulási adathalászat céljából. Az OAuth-alkalmazások rosszindulatú célú egyéb ismert felhasználásai közé tartozik a parancs- és vezérlési (C2) kommunikáció, a hátsó ajtók, az adathalászat és az átirányítások. Még a Nobelium is, az a csoport, amely ellátási lánc támadásban támadta meg a SolarWindst visszaélt az OAuth-szal, hogy szélesebb körű támadásokat tegyen lehetővé.