MFA が重要な理由: これらの攻撃者は管理者アカウントをクラックし、Exchange を使用してスパムを送信しました

Microsoft は、攻撃者がスパムを送信するように被害者の Exchange サーバーを再構成することを可能にした OAuth アプリの悪用の巧妙なケースを公開しました。     

Microsoft によると、精巧な攻撃のポイントは、偽の懸賞を宣伝する大量のスパムを、実際の発信元ではなく、侵害された Exchange ドメインから発信されたかのように見せかけることでした。 . 

懸賞の策略は、受信者をだましてクレジット カードの詳細を提供させ、定期的なサブスクリプションにサインアップさせるために使用されました。 

Microsoft 365 Defender Research Team は次のように述べています。

また： 正確には、サイバーセキュリティとは何ですか？ そして、なぜそれが重要なのでしょうか？

Exchange サーバーにスパムを送信させるために、攻撃者はまずターゲットの保護が不十分なクラウド テナントを侵害し、次に特権ユーザー アカウントへのアクセスを取得して、環境内に悪意のある特権 OAuth アプリケーションを作成しました。 OAuth apps ユーザーが他のユーザーに限定的なアクセスを許可できるようにする apps、しかし、ここの攻撃者はそれを別の方法で使用しました。 

標的となった管理者アカウントのいずれも、多要素認証 (MFA) がオンになっておらず、攻撃を阻止できた可能性があります。

「侵害されたすべての管理者が MFA を有効にしていないことに注意することも重要です。これにより、攻撃を阻止できた可能性があります。 これらの観察結果は、アカウントを保護し、リスクの高いユーザー、特に高い権限を持つユーザーを監視することの重要性を増幅しています」と Microsoft は述べています。

内部に入ると、彼らは Azure Active Directory (AAD) を使用してアプリを登録し、Exchange Online PowerShell モジュールのアプリ専用認証のアクセス許可を追加し、そのアクセス許可に管理者の同意を与え、新しく登録されたユーザーにグローバル管理者と Exchange 管理者の役割を付与しました。アプリ。       

「脅威アクターは、OAuth アプリケーションに独自の資格情報を追加しました。これにより、最初に侵害されたグローバル管理者がパスワードを変更した場合でも、アプリケーションにアクセスできるようになりました」と Microsoft は述べています。 

「言及された活動により、攻撃者は非常に特権的なアプリケーションを制御できるようになりました。」

これらすべてが整った状態で、攻撃者は OAuth アプリを使用して Exchange Online PowerShell モジュールに接続し、Exchange の設定を変更して、サーバーが攻撃者のインフラストラクチャに関連する独自の IP アドレスからスパムをルーティングするようにしました。 

これを行うために、「」と呼ばれる Exchange サーバー機能を使用しました。コネクタ「Microsoft 365/Office 365 を使用して組織との間でやり取りされる電子メール フローをカスタマイズする方法について。攻撃者は新しい受信コネクタを作成し、多数のコネクタをセットアップしました。」トランスポート ルール」は、スパム キャンペーンの成功率を高めるために、Exchange 経由のスパムの一連のヘッダーを削除した Exchange Online を対象としています。 ヘッダーを削除すると、電子メールはセキュリティ製品による検出を回避できます。 

「各スパム キャンペーンの後、攻撃者は検出を防ぐために悪意のある受信コネクタとトランスポート ルールを削除しましたが、アプリケーションは攻撃の次の波までテナントに展開されたままになりました (場合によっては、アプリが再利用されるまで数か月休止していました)。攻撃者によって)」と Microsoft は説明します。    

Microsoft は昨年、攻撃者が同意フィッシングのために OAuth をどのように悪用していたかを詳しく説明しました。 悪意のある目的での OAuth アプリケーションのその他の既知の用途には、コマンド アンド コントロール (C2) 通信、バックドア、フィッシング、およびリダイレクトが含まれます。 サプライ チェーン攻撃で SolarWinds を攻撃したグループである Nobelium でさえ、 OAuth を悪用してより広範な攻撃を可能にする.