ТИМ эмне үчүн маанилүү: Бул чабуулчулар администратордун аккаунттарын бузуп, андан кийин спам жөнөтүү үчүн Exchange колдонушкан

Microsoft чабуулчуларга жабырлануучунун Exchange серверин спам жөнөтүү үчүн кайра конфигурациялоого мүмкүндүк берген OAuth колдонмосун кыянаттык менен пайдалануу фактысын ачыкка чыгарды.     

Майкрософттун маалыматы боюнча, кылдат чабуулдун максаты массалык спам - жасалма лотереяны илгерилетүү - бул алардын жеке IP дареги же үчүнчү тараптын электрондук маркетинг кызматтары болгон иш жүзүндөгү булактардан эмес, бузулган Exchange доменинен келип чыккандай көрүнүү болгон. . 

Лотереянын айласы алуучуларды кредиттик картанын реквизиттерин берүү жана кайталануучу жазылууларга жазылуу үчүн алдоо үчүн колдонулган. 

"Схема, балким, буталар үчүн керексиз төлөмдөргө алып келгени менен, эсептик дайындарды фишинг же кесепеттүү программаны жайылтуу сыяктуу ачык коркунучтардын эч кандай далили жок" деди Microsoft 365 Defender изилдөө тобу.

Ошондой эле: Тактап айтканда, киберкоопсуздук деген эмне? Жана бул эмне үчүн маанилүү?

Exchange серверине спам жөнөтүү үчүн, чабуулчулар адегенде максаттуу начар корголгон булут ижарачысын бузуп, андан кийин чөйрөдө зыяндуу жана артыкчылыктуу OAuth тиркемелерин түзүү үчүн артыкчылыктуу колдонуучу эсептерине кирүү мүмкүнчүлүгүнө ээ болушкан. OAuth apps колдонуучуларга башкаларга чектелген мүмкүнчүлүк берүү apps, бирок бул жерде кол салгандар башкача колдонушкан. 

Максаттуу администратордук эсептердин бири дагы көп факторлуу аутентификация (MFA) күйгүзүлгөн эмес, бул чабуулдарды токтотушу мүмкүн.

«Ошондой эле белгилей кетүүчү нерсе, бардык бузулган администраторлордо ТИМ иштетилген эмес, бул чабуулду токтотушу мүмкүн. Бул байкоолор кооптуу колдонуучулар, өзгөчө артыкчылыктары бар колдонуучулар үчүн аккаунттарды коргоонун жана мониторинг жүргүзүүнүн маанилүүлүгүн күчөтөт», - деди Microsoft.

Ичке киргенден кийин, алар колдонмону каттоо үчүн Azure Active Directory (AAD) колдонушту, Exchange Online PowerShell модулунун колдонмо үчүн гана аутентификациясына уруксат кошуп, ал уруксатка администратордун макулдугун беришти, анан жаңы катталгандарга глобалдык администратор жана Exchange администратор ролдорун беришти. колдонмо.       

"Коркунучтуу актер OAuth тиркемесине өзүнүн эсептик дайындарын кошту, бул аларга алгач бузулган глобалдык администратор сырсөзүн өзгөртсө дагы, тиркемеге кирүү мүмкүнчүлүгүн берди" деп белгилейт Microsoft. 

"Айтылган иш-аракеттер коркунуч актеруна жогорку артыкчылыктуу тиркемени башкарууга мүмкүнчүлүк берди."

Мунун баары ордунда болгондо, чабуулчулар OAuth тиркемесин Exchange Online PowerShell модулуна туташуу жана Exchange жөндөөлөрүн өзгөртүү үчүн колдонушту, ошентип сервер чабуулчунун инфраструктурасына тиешелүү өз IP даректеринен спам жөнөтөт. 

Бул үчүн алар Exchange сервер функциясын колдонушкан.бириктиргичтери” Microsoft 365/Office 365 аркылуу уюмдарга жана андан электрондук почта агымын ыңгайлаштыруу үчүн. Актёр жаңы кирүүчү туташтыргычты түзүп, ондогон “ орноткон.транспорт эрежелери” Exchange Online үчүн, ал спам кампаниясынын ийгилигинин деңгээлин жогорулатуу үчүн Exchange-багытталган спамдагы аталыштардын топтомун жок кылды. Башкыларды алып салуу электрондук почтаны коопсуздук продуктулары тарабынан аныкталбай коюуга мүмкүндүк берет. 

"Ар бир спам кампаниясынан кийин, актёр зыяндуу кирүүчү туташтыргычты жана аны аныктоонун алдын алуу үчүн транспорт эрежелерин өчүрдү, ал эми тиркеме чабуулдун кийинки толкунуна чейин ижарачыда жайгаштырылган бойдон калды (айрым учурларда, колдонмо кайра колдонулганга чейин бир нече ай бою иштебей турган). коркунуч актер тарабынан)," Microsoft түшүндүрөт.    

Майкрософт былтыр чабуулчулар макулдук фишинг үчүн OAuth'ту кантип кыянаттык менен пайдаланып жатканын деталдашты. OAuth тиркемелерин зыяндуу максаттарда колдонуунун башка белгилүү түрлөрүнө командалык-башкаруу (C2) байланышы, бэкдор, фишинг жана кайра багыттоо кирет. Жада калса Nobelium, SolarWindsке бир жеткирүү чынжырына кол салган топ кененирээк чабуулдарды иштетүү үчүн OAuth-ды кыянаттык менен пайдаланды.