Napa MFA penting: Panyerang iki ngrusak akun admin banjur nggunakake Exchange kanggo ngirim spam

Microsoft wis mbabarake kasus penyalahgunaan aplikasi OAuth sing ngidini para panyerang ngonfigurasi ulang server Exchange korban kanggo ngirim spam.     

Titik serangan sing rumit yaiku nggawe spam massal - promosi undian palsu - katon kaya asale saka domain Exchange sing dikompromi tinimbang asal-usul sing asli, yaiku alamat IP dhewe utawa layanan pemasaran email pihak katelu, miturut Microsoft. . 

Tipu sweepstake digunakake kanggo ngapusi panampa supaya nyedhiyakake rincian kertu kredit lan ndhaptar langganan bola-bali. 

"Nalika skema kasebut bisa nyebabake biaya sing ora dikarepake kanggo target, ora ana bukti ancaman keamanan sing jelas kayata phishing kredensial utawa distribusi malware," ujare Microsoft 365 Defender Research Team.

uga: Apa, persis, cybersecurity? Lan apa iku penting?

Kanggo nggawe server Exchange ngirim spam, para panyerang pisanan kompromi penyewa awan sing ora dilindhungi kanthi apik lan banjur entuk akses menyang akun pangguna sing duwe hak istimewa kanggo nggawe aplikasi OAuth sing ala lan duwe hak istimewa ing lingkungan. OAuth apps supaya pangguna menehi akses winates kanggo liyane apps, nanging panyerang kene digunakake beda. 

Ora ana akun administrator sing ditargetake duwe otentikasi multi-faktor (MFA) sing diuripake, sing bisa mungkasi serangan kasebut.

"Sampeyan uga penting kanggo dicathet yen kabeh admin sing dikompromi ora ngaktifake MFA, sing bisa mungkasi serangan kasebut. Pengamatan kasebut nambah pentinge ngamanake akun lan ngawasi pangguna berisiko tinggi, utamane sing duwe hak istimewa, "ujare Microsoft.

Sawise mlebu, dheweke nggunakake Azure Active Directory (AAD) kanggo ndhaptar aplikasi kasebut, nambah ijin kanggo otentikasi mung aplikasi modul Exchange Online PowerShell, menehi idin admin kanggo ijin kasebut, banjur menehi admin global lan peran admin Exchange menyang sing mentas kadhaptar. app.       

"Aktor ancaman nambahake kredensial dhewe menyang aplikasi OAuth, sing bisa ngakses aplikasi kasebut sanajan administrator global sing kompromi ngganti tembung sandhi," ujare Microsoft. 

"Kegiatan kasebut menehi kontrol aktor ancaman saka aplikasi sing duwe hak istimewa."

Kanthi kabeh iki, panyerang nggunakake aplikasi OAuth kanggo nyambung menyang modul Exchange Online PowerShell lan ngganti setelan Exchange, supaya server ngarahake spam saka alamat IP dhewe sing ana hubungane karo infrastruktur penyerang. 

Kanggo nindakake iki, dheweke nggunakake fitur server Exchange sing diarani "konektor"Kanggo ngatur cara email mili menyang lan saka organisasi nggunakake Microsoft 365/Office 365. Aktor kasebut nggawe konektor mlebu anyar lan nyetel selusin "aturan transportasi” kanggo Exchange Online sing mbusak sakumpulan header ing spam sing dituju Exchange kanggo ngedongkrak tingkat sukses kampanye spam. Mbusak header ngidini email kanggo nyingkiri deteksi dening produk keamanan. 

"Sawise saben kampanye spam, aktor kasebut mbusak konektor mlebu lan aturan transportasi sing ala kanggo nyegah deteksi, dene aplikasi kasebut tetep dipasang ing panyewane nganti gelombang serangan sabanjure (ing sawetara kasus, aplikasi kasebut ora aktif nganti pirang-pirang wulan sadurunge digunakake maneh. dening aktor ancaman)," Microsoft nerangake.    

Microsoft taun kepungkur rinci babagan carane panyerang nyalahake OAuth kanggo phishing idin. Panggunaan aplikasi OAuth liyane sing dikenal kanggo tujuan ala kalebu komunikasi command-and-control (C2), backdoors, phishing, lan pangalihan. Malah Nobelium, klompok sing nyerang SolarWinds ing serangan rantai pasokan, duwe penyalahgunaan OAuth kanggo ngaktifake serangan sing luwih jembar.