MFA가 중요한 이유: 이 공격자는 관리자 계정을 해킹한 다음 Exchange를 사용하여 스팸을 보냅니다.

Microsoft는 공격자가 스팸을 보내도록 피해자의 Exchange 서버를 재구성할 수 있는 교활한 OAuth 앱 남용 사례를 노출했습니다.     

정교한 공격의 요점은 가짜 경품을 조장하는 대량 스팸을 실제 출처가 아닌 손상된 Exchange 도메인에서 시작된 것처럼 보이게 만드는 것이었습니다. Microsoft에 따르면 . 

경품 사기는 수신자를 속여 신용 카드 정보를 제공하고 정기 구독에 가입하도록 하는 데 사용되었습니다. 

마이크로소프트 365 디펜더 리서치 팀은 “이 계획이 표적에 대해 원치 않는 요금을 부과할 수 있었지만 크리덴셜 피싱이나 맬웨어 배포와 같은 명백한 보안 위협의 증거는 없었다”고 말했다.

또한 : 사이버 보안이란 정확히 무엇입니까? 그리고 그것이 왜 중요합니까?

Exchange 서버가 스팸을 보내도록 하기 위해 공격자는 먼저 대상의 제대로 보호되지 않은 클라우드 테넌트를 손상시킨 다음 권한 있는 사용자 계정에 액세스하여 환경 내에서 악성 및 권한 있는 OAuth 애플리케이션을 생성했습니다. OAuth apps 사용자가 다른 사용자에게 제한된 액세스 권한을 부여하도록 허용 apps, 그러나 여기의 공격자들은 그것을 다르게 사용했습니다. 

대상이 된 관리자 계정 중 MFA(다단계 인증)가 켜져 있지 않아 공격을 중지할 수 있었습니다.

“또한 감염된 모든 관리자가 MFA를 활성화하지 않았으므로 공격을 중지할 수 있다는 점에 유의해야 합니다. 이러한 관찰은 계정을 보호하고 고위험 사용자, 특히 높은 권한을 가진 사용자에 대한 모니터링의 중요성을 증폭시킵니다.”라고 Microsoft는 말했습니다.

내부에 들어가면 Azure Active Directory(AAD)를 사용하여 앱을 등록하고, Exchange Online PowerShell 모듈의 앱 전용 인증에 대한 권한을 추가하고, 해당 권한에 대한 관리자 동의를 부여한 다음, 새로 등록된 사용자에게 전역 관리자 및 Exchange 관리자 역할을 부여했습니다. 앱.       

마이크로소프트는 “위협 행위자는 OAuth 애플리케이션에 자신의 자격 증명을 추가해 처음에 감염된 글로벌 관리자가 비밀번호를 변경한 경우에도 애플리케이션에 액세스할 수 있게 했다”고 지적했다. 

"언급된 활동은 위협 행위자가 높은 권한을 가진 응용 프로그램을 제어할 수 있도록 했습니다."

이 모든 것이 준비된 상태에서 공격자는 OAuth 앱을 사용하여 Exchange Online PowerShell 모듈에 연결하고 Exchange 설정을 변경하여 서버가 공격자의 인프라와 관련된 자체 IP 주소에서 스팸을 라우팅하도록 했습니다. 

이를 위해 ""라는 Exchange 서버 기능을 사용했습니다.커넥터" Microsoft 365/Office 365를 사용하여 조직에서 이메일이 흐르는 방식을 사용자 지정하기 위해. 행위자는 새로운 인바운드 커넥터를 만들고 XNUMX개를 설정했습니다.운송 규칙” 스팸 캠페인의 성공률을 높이기 위해 Exchange에서 라우팅된 스팸의 헤더 집합을 삭제한 Exchange Online의 경우. 헤더를 제거하면 이메일이 보안 제품의 탐지를 피할 수 있습니다. 

“각 스팸 캠페인 후에 공격자는 탐지를 방지하기 위해 악성 인바운드 커넥터와 전송 규칙을 삭제했으며, 애플리케이션은 다음 공격까지 테넌트에 배포된 상태로 유지되었습니다(일부 경우 앱은 재사용되기 전에 몇 달 동안 휴면 상태였습니다.) 위협 행위자)”라고 Microsoft는 설명합니다.    

Microsoft는 작년에 공격자가 동의 피싱을 위해 OAuth를 악용하는 방법을 자세히 설명했습니다. 악의적인 목적으로 OAuth 애플리케이션을 사용하는 것으로 알려진 다른 용도로는 C2(명령 및 제어) 통신, 백도어, 피싱 및 리디렉션이 있습니다. 공급망 공격으로 SolarWinds를 공격한 그룹인 Nobelium조차도 더 광범위한 공격을 가능하게 하는 OAuth 남용.