Mengapa MFA penting: Penyerang ini meretas akun admin kemudian menggunakan Exchange untuk mengirim spam

Microsoft telah mengungkap kasus licik penyalahgunaan aplikasi OAuth yang memungkinkan penyerang mengonfigurasi ulang server Exchange korban untuk mengirim spam.     

Inti dari serangan yang rumit adalah untuk membuat spam massal – mempromosikan undian palsu – terlihat seperti berasal dari domain Exchange yang disusupi daripada asal sebenarnya, yang merupakan alamat IP mereka sendiri atau layanan pemasaran email pihak ketiga, menurut Microsoft . 

Tipuan undian digunakan untuk mengelabui penerima agar memberikan rincian kartu kredit dan mendaftar untuk langganan berulang. 

“Meskipun skema tersebut mungkin menyebabkan tagihan yang tidak diinginkan untuk target, tidak ada bukti ancaman keamanan nyata seperti phishing kredensial atau distribusi malware,” kata Tim Riset Pertahanan Microsoft 365.

Juga: Apa sebenarnya keamanan siber itu? Dan mengapa itu penting?

Untuk membuat server Exchange mengirim spam mereka, penyerang pertama-tama mengkompromikan penyewa awan target yang kurang terlindungi dan kemudian mendapatkan akses ke akun pengguna istimewa untuk membuat aplikasi OAuth berbahaya dan istimewa di dalam lingkungan. OAuth apps biarkan pengguna memberikan akses terbatas ke yang lain apps, tetapi penyerang di sini menggunakannya secara berbeda. 

Tak satu pun dari akun administrator yang ditargetkan memiliki otentikasi multi-faktor (MFA) yang diaktifkan, yang dapat menghentikan serangan.

“Penting juga untuk dicatat bahwa semua admin yang disusupi tidak mengaktifkan MFA, yang dapat menghentikan serangan. Pengamatan ini memperkuat pentingnya mengamankan akun dan memantau pengguna berisiko tinggi, terutama mereka yang memiliki hak istimewa tinggi, ”kata Microsoft.

Begitu masuk, mereka menggunakan Azure Active Directory (AAD) untuk mendaftarkan aplikasi, menambahkan izin untuk autentikasi khusus aplikasi dari modul Exchange Online PowerShell, memberikan izin admin untuk izin itu, dan kemudian memberikan peran admin global dan admin Exchange ke yang baru terdaftar aplikasi.       

“Aktor ancaman menambahkan kredensial mereka sendiri ke aplikasi OAuth, yang memungkinkan mereka untuk mengakses aplikasi bahkan jika administrator global yang awalnya disusupi mengubah kata sandi mereka,” catatan Microsoft. 

“Aktivitas yang disebutkan memberi kontrol aktor ancaman atas aplikasi yang sangat istimewa.”

Dengan semua ini, penyerang menggunakan aplikasi OAuth untuk terhubung ke modul Exchange Online PowerShell dan mengubah pengaturan Exchange, sehingga server merutekan spam dari alamat IP mereka sendiri yang terkait dengan infrastruktur penyerang. 

Untuk melakukan ini, mereka menggunakan fitur server Exchange yang disebut “konektor” untuk menyesuaikan cara email mengalir ke dan dari organisasi menggunakan Microsoft 365/Office 365. Aktor membuat konektor masuk baru dan menyiapkan selusin “aturan transportasi” untuk Exchange Online yang menghapus sekumpulan header di spam rute Exchange untuk meningkatkan tingkat keberhasilan kampanye spam. Menghapus header memungkinkan email untuk menghindari deteksi oleh produk keamanan. 

“Setelah setiap kampanye spam, aktor menghapus konektor masuk berbahaya dan aturan transportasi untuk mencegah deteksi, sementara aplikasi tetap digunakan di penyewa hingga gelombang serangan berikutnya (dalam beberapa kasus, aplikasi tidak aktif selama berbulan-bulan sebelum digunakan kembali). oleh aktor ancaman),” Microsoft menjelaskan.    

Microsoft tahun lalu merinci bagaimana penyerang menyalahgunakan OAuth untuk phishing persetujuan. Penggunaan lain yang diketahui dari aplikasi OAuth untuk tujuan jahat termasuk komunikasi perintah-dan-kontrol (C2), pintu belakang, phishing, dan pengalihan. Bahkan Nobelium, kelompok yang menyerang SolarWinds dalam serangan rantai pasokan, telah menyalahgunakan OAuth untuk mengaktifkan serangan yang lebih luas.