ເປັນຫຍັງ MFA ຈຶ່ງສຳຄັນ: ຜູ້ໂຈມຕີເຫຼົ່ານີ້ໄດ້ແຕກບັນຊີຜູ້ເບິ່ງແຍງລະບົບ ຈາກນັ້ນໃຊ້ Exchange ເພື່ອສົ່ງສະແປມ

Microsoft ໄດ້ເປີດເຜີຍກໍລະນີທີ່ຫຼອກລວງຂອງການລ່ວງລະເມີດແອັບ OAuth ທີ່ອະນຸຍາດໃຫ້ຜູ້ໂຈມຕີສາມາດປັບຄ່າເຊີບເວີ Exchange ຂອງຜູ້ເຄາະຮ້າຍເພື່ອສົ່ງ spam.     

ຈຸດຂອງການໂຈມຕີຢ່າງລະອຽດແມ່ນເພື່ອເຮັດໃຫ້ spam ຂະຫນາດໃຫຍ່ - ສົ່ງເສີມການ sweepstake ປອມ - ເບິ່ງຄືວ່າມັນມີຕົ້ນກໍາເນີດມາຈາກໂດເມນ Exchange ທີ່ຖືກທໍາລາຍແທນທີ່ຈະເປັນຕົ້ນສະບັບທີ່ແທ້ຈິງ, ເຊິ່ງເປັນທີ່ຢູ່ IP ຂອງຕົນເອງຫຼືບໍລິການການຕະຫຼາດອີເມວຂອງພາກສ່ວນທີສາມ, ອີງຕາມ Microsoft. . 

ການໃຊ້ສະມາດສະເຕກໄດ້ຖືກນໍາໃຊ້ເພື່ອຫລອກລວງຜູ້ຮັບໃຫ້ສະຫນອງລາຍລະອຽດບັດເຄຣດິດແລະການລົງທະບຽນສໍາລັບການສະຫມັກທີ່ເກີດຂື້ນເລື້ອຍໆ. 

"ໃນຂະນະທີ່ໂຄງການດັ່ງກ່າວອາດຈະເຮັດໃຫ້ການຄິດຄ່າບໍລິການທີ່ບໍ່ຕ້ອງການສໍາລັບເປົ້າຫມາຍ, ບໍ່ມີຫຼັກຖານໃດໆຂອງໄພຂົ່ມຂູ່ດ້ານຄວາມປອດໄພເຊັ່ນ: ການຫຼອກລວງຂໍ້ມູນຫຼືການແຈກຢາຍ malware," ທີມງານຄົ້ນຄ້ວາຂອງ Microsoft 365 Defender ກ່າວ.

ນອກຈາກນີ້: ແທ້ຈິງແລ້ວ, ຄວາມປອດໄພທາງໄຊເບີແມ່ນຫຍັງ? ແລະເປັນຫຍັງມັນຈຶ່ງສໍາຄັນ?

ເພື່ອເຮັດໃຫ້ເຊີບເວີ Exchange ສົ່ງ spam ຂອງເຂົາເຈົ້າ, ຜູ້ໂຈມຕີໄດ້ທຳຮ້າຍຜູ້ເຊົ່າຄລາວທີ່ມີການປ້ອງກັນບໍ່ດີຂອງເປົ້າໝາຍ ແລະຫຼັງຈາກນັ້ນໄດ້ເຂົ້າເຖິງບັນຊີຜູ້ໃຊ້ທີ່ໄດ້ຮັບສິດທິພິເສດເພື່ອສ້າງແອັບພລິເຄຊັນ OAuth ທີ່ເປັນອັນຕະລາຍ ແລະໄດ້ຮັບສິດທິພິເສດພາຍໃນສະພາບແວດລ້ອມ. OAuth apps ໃຫ້​ຜູ້​ໃຊ້​ອະ​ນຸ​ຍາດ​ໃຫ້​ການ​ເຂົ້າ​ເຖິງ​ທີ່​ຈໍາ​ກັດ​ເພື່ອ​ອື່ນໆ​ apps, ແຕ່ຜູ້ໂຈມຕີຢູ່ທີ່ນີ້ໃຊ້ມັນແຕກຕ່າງກັນ. 

ບໍ່ມີບັນຊີຜູ້ເບິ່ງແຍງລະບົບໃດໆທີ່ຖືກເປົ້າໝາຍໄດ້ເປີດການພິສູດຢືນຢັນແບບຫຼາຍປັດໃຈ (MFA) ເຊິ່ງສາມາດຢຸດການໂຈມຕີໄດ້.

"ມັນຍັງມີຄວາມສໍາຄັນທີ່ຈະສັງເກດວ່າຜູ້ບໍລິຫານທີ່ຖືກທໍາລາຍທັງຫມົດບໍ່ໄດ້ເປີດໃຊ້ MFA, ເຊິ່ງສາມາດຢຸດການໂຈມຕີໄດ້. ການສັງເກດການເຫຼົ່ານີ້ຂະຫຍາຍຄວາມສໍາຄັນຂອງການຮັບປະກັນບັນຊີແລະການຕິດຕາມຜູ້ໃຊ້ທີ່ມີຄວາມສ່ຽງສູງ, ໂດຍສະເພາະແມ່ນຜູ້ທີ່ມີສິດທິພິເສດ, "Microsoft ກ່າວ.

ເມື່ອຢູ່ໃນພາຍໃນ, ພວກເຂົາເຈົ້າໄດ້ໃຊ້ Azure Active Directory (AAD) ເພື່ອລົງທະບຽນແອັບຯ, ເພີ່ມການອະນຸຍາດສໍາລັບການກວດສອບ app ເທົ່ານັ້ນຂອງໂມດູນ Exchange Online PowerShell, ໃຫ້ການຍິນຍອມຂອງຜູ້ເບິ່ງແຍງການອະນຸຍາດນັ້ນ, ແລະຫຼັງຈາກນັ້ນໄດ້ມອບຫນ້າທີ່ບໍລິຫານທົ່ວໂລກແລະ Exchange admin ໃຫ້ກັບຜູ້ທີ່ລົງທະບຽນໃຫມ່. ແອັບ.       

"ນັກຂົ່ມຂູ່ໄດ້ເພີ່ມຂໍ້ມູນປະຈໍາຕົວຂອງເຂົາເຈົ້າກັບແອັບພລິເຄຊັນ OAuth, ເຊິ່ງເຮັດໃຫ້ພວກເຂົາສາມາດເຂົ້າເຖິງແອັບພລິເຄຊັນໄດ້ເຖິງແມ່ນວ່າຜູ້ເບິ່ງແຍງລະບົບທົ່ວໂລກທີ່ຖືກທໍາລາຍໃນເບື້ອງຕົ້ນໄດ້ປ່ຽນລະຫັດຜ່ານຂອງພວກເຂົາ," Microsoft ບັນທຶກໄວ້. 

"ກິດຈະກໍາທີ່ໄດ້ກ່າວມາໄດ້ໃຫ້ການຄວບຄຸມຜູ້ຂົ່ມຂູ່ຕໍ່ຄໍາຮ້ອງສະຫມັກທີ່ມີສິດທິພິເສດ."

ດ້ວຍສິ່ງທັງໝົດນີ້, ຜູ້ໂຈມຕີໄດ້ໃຊ້ແອັບ OAuth ເພື່ອເຊື່ອມຕໍ່ກັບໂມດູນ Exchange Online PowerShell ແລະປ່ຽນການຕັ້ງຄ່າ Exchange, ເພື່ອໃຫ້ເຊີບເວີສົ່ງ spam ຈາກທີ່ຢູ່ IP ຂອງຕົນເອງທີ່ກ່ຽວຂ້ອງກັບໂຄງສ້າງພື້ນຖານຂອງຜູ້ໂຈມຕີ. 

ເພື່ອເຮັດສິ່ງນີ້, ພວກເຂົາເຈົ້າໄດ້ນໍາໃຊ້ຄຸນນະສົມບັດຂອງເຄື່ອງແມ່ຂ່າຍຂອງ Exchange ເອີ້ນວ່າ ".ຕົວເຊື່ອມຕໍ່” ສໍາລັບການປັບແຕ່ງວິທີການສົ່ງອີເມລ໌ໄປຫາແລະຈາກອົງການຈັດຕັ້ງໂດຍໃຊ້ Microsoft 365/Office 365. ນັກສະແດງໄດ້ສ້າງຕົວເຊື່ອມຕໍ່ຂາເຂົ້າໃຫມ່ແລະຕິດຕັ້ງອາຍແກັສ "ກົດລະບຽບການຂົນສົ່ງ” ສໍາລັບ Exchange Online ທີ່ລຶບຊຸດຂອງສ່ວນຫົວໃນ Exchange-routed spam ເພື່ອເພີ່ມອັດຕາຄວາມສໍາເລັດຂອງແຄມເປນ spam. ການຖອດຫົວອອກເຮັດໃຫ້ອີເມວຫລີກລ່ຽງການກວດພົບໂດຍຜະລິດຕະພັນຄວາມປອດໄພ. 

"ຫຼັງຈາກແຕ່ລະແຄມເປນ spam, ນັກສະແດງໄດ້ລຶບຕົວເຊື່ອມຕໍ່ຂາເຂົ້າທີ່ເປັນອັນຕະລາຍແລະກົດລະບຽບການຂົນສົ່ງເພື່ອປ້ອງກັນການກວດພົບ, ໃນຂະນະທີ່ແອັບພລິເຄຊັນຍັງຄົງຖືກ ນຳ ໃຊ້ຢູ່ໃນຜູ້ເຊົ່າຈົນກ່ວາການໂຈມຕີຄັ້ງຕໍ່ໄປ (ໃນບາງກໍລະນີ, ແອັບພລິເຄຊັ່ນໄດ້ຢຸດສະງັກເປັນເວລາຫລາຍເດືອນກ່ອນທີ່ມັນຈະຖືກ ນຳ ໃຊ້ຄືນ ໃໝ່. ໂດຍນັກສະແດງໄພຂົ່ມຂູ່),” Microsoft ອະທິບາຍ.    

Microsoft ໃນປີກາຍນີ້ ລາຍລະອຽດວ່າຜູ້ໂຈມຕີໃຊ້ OAuth ແນວໃດເພື່ອການຍິນຍອມ phishing. ການນໍາໃຊ້ທີ່ຮູ້ຈັກອື່ນໆຂອງແອັບພລິເຄຊັນ OAuth ສໍາລັບຈຸດປະສົງທີ່ເປັນອັນຕະລາຍລວມມີການສື່ສານຄໍາສັ່ງແລະການຄວບຄຸມ (C2), backdoors, phishing, ແລະການປ່ຽນເສັ້ນທາງ. ເຖິງແມ່ນວ່າ Nobelium, ກຸ່ມທີ່ໂຈມຕີ SolarWinds ໃນການໂຈມຕີລະບົບຕ່ອງໂສ້ການສະຫນອງ, ມີ ລ່ວງລະເມີດ OAuth ເພື່ອເປີດໃຊ້ການໂຈມຕີທີ່ກວ້າງຂຶ້ນ.