Зошто МНР е важно: овие напаѓачи ги пробиле административните сметки, а потоа користеле Exchange за испраќање спам

Мајкрософт откри лукав случај на злоупотреба на апликацијата OAuth што им овозможи на напаѓачите да го реконфигурираат Exchange серверот на жртвата за да испраќа спам.     

Целта на елаборираниот напад беше да се направи масовниот спам - промовирајќи лажна наградна игра - да изгледа како да потекнува од компромитираниот домен на Exchange, а не од вистинското потекло, кои биле или нивна сопствена IP адреса или услуги за маркетинг преку е-пошта од трета страна, според Microsoft. . 

Измамата на наградната игра беше искористена за да ги измами примателите да обезбедат детали за кредитната картичка и да се пријават за повторливи претплати. 

„Иако шемата веројатно доведе до несакани трошоци за целите, немаше докази за очигледни безбедносни закани како што се кражба на идентитет или дистрибуција на малициозен софтвер“, рече истражувачкиот тим на Microsoft 365 Defender.

Значи: Што е, точно, сајбер безбедноста? И зошто е важно?

За да го натераат серверот Exchange да го испраќа својот спам, напаѓачите прво го компромитирале слабо заштитениот закупец на облакот на целта, а потоа добиле пристап до привилегирани кориснички сметки за да создадат малициозни и привилегирани OAuth апликации во околината. OAuth apps дозволете им на корисниците ограничен пристап до други apps, но напаѓачите овде го искористија поинаку. 

Ниту една од администраторските сметки што беа насочени немаше вклучена автентикација со повеќе фактори (MFA), што можеше да ги запре нападите.

„Исто така, важно е да се напомене дека сите компромитирани админи немаа овозможено MFA, што можеше да го запре нападот. Овие набљудувања ја засилуваат важноста од обезбедување на сметки и следење за корисници со висок ризик, особено за оние со високи привилегии“, рече Мајкрософт.

Откако влегоа внатре, тие го користеа Azure Active Directory (AAD) за да ја регистрираат апликацијата, додадоа дозвола за автентикација само за апликација на модулот Exchange Online PowerShell, дадоа согласност од администраторот за таа дозвола, а потоа дадоа глобални администраторски и администраторски улоги на Exchange на новорегистрираните апликација.       

„Актерот за закани додаде свои ингеренции во апликацијата OAuth, што им овозможи пристап до апликацијата дури и ако првично компромитираниот глобален администратор ја смени нивната лозинка“, забележува Microsoft. 

„Споменатите активности му дадоа на актерот за закана контрола на високо привилегирана апликација“.

Со сето ова, напаѓачите ја користеа апликацијата OAuth за да се поврзат со модулот Exchange Online PowerShell и да ги променат поставките на Exchange, така што серверот го насочуваше спамот од нивните сопствени IP адреси поврзани со инфраструктурата на напаѓачот. 

За да го направат ова, тие користеа функција на Exchange Server наречена „конектори“ за прилагодување на начинот на кој е-пошта тече до и од организации кои користат Microsoft 365/Office 365. Актерот создаде нов влезен конектор и постави десетина “правила за транспорт” за Exchange Online кој избриша збир на заглавија во спам рутирани преку Exchange за да ја зголеми стапката на успех на кампањата за спам. Отстранувањето на заглавијата овозможува е-поштата да избегне откривање од безбедносни производи. 

„По секоја спам кампања, актерот го бришеше злонамерниот влезен конектор и правилата за транспорт за да спречи откривање, додека апликацијата остана распоредена кај закупецот до следниот бран на напад (во некои случаи, апликацијата беше во мирување со месеци пред повторно да се употреби од актерот за закана)“, објаснува Microsoft.    

Мајкрософт минатата година детализираше како напаѓачите го злоупотребуваат OAuth за фишинг на согласност. Други познати употреби на апликациите OAuth за злонамерни цели вклучуваат комуникација со команда и контрола (C2), задни врати, фишинг и пренасочувања. Дури и Nobelium, групата која го нападна SolarWinds во напад на синџирот на снабдување, има го злоупотребил OAuth за да овозможи пошироки напади.