Prečo záleží na MFA: Títo útočníci prelomili správcovské účty a potom použili Exchange na odosielanie spamu

Spoločnosť Microsoft odhalila rafinovaný prípad zneužitia aplikácie OAuth, ktorý útočníkom umožnil prekonfigurovať server Exchange obete na odosielanie spamu.     

Cieľom prepracovaného útoku bolo, aby hromadný spam – propagujúci falošnú lotériu – vyzeral, že pochádza z napadnutej domény Exchange, a nie zo skutočného pôvodu, ktorým bola buď ich vlastná IP adresa alebo e-mailové marketingové služby tretích strán, tvrdí Microsoft. . 

Lesť stávok bola použitá na oklamanie príjemcov, aby poskytli podrobnosti o kreditnej karte a prihlásili sa na opakované odbery. 

„Aj keď schéma mohla viesť k nechceným poplatkom za ciele, neexistovali žiadne dôkazy o zjavných bezpečnostných hrozbách, ako je phishing poverení alebo distribúcia škodlivého softvéru,“ uviedol výskumný tím Microsoft 365 Defender Research Team.

Tiež: Čo je to vlastne kybernetická bezpečnosť? A prečo na tom záleží?

Aby server Exchange posielal ich spam, útočníci najprv kompromitovali nedostatočne chráneného cloudového nájomcu cieľa a potom získali prístup k privilegovaným používateľským účtom, aby v prostredí vytvorili škodlivé a privilegované aplikácie OAuth. OAuth apps umožniť používateľom poskytnúť obmedzený prístup k iným apps, no útočníci to tu využili inak. 

Žiadny z cieľových správcovských účtov nemal zapnutú viacfaktorovú autentifikáciu (MFA), ktorá by mohla zastaviť útoky.

„Je tiež dôležité poznamenať, že všetci napadnutí správcovia nemali povolené MFA, čo mohlo zastaviť útok. Tieto pozorovania umocňujú dôležitosť zabezpečenia účtov a monitorovania pre vysokorizikových používateľov, najmä tých s vysokými privilégiami,“ uviedol Microsoft.

Keď boli vo vnútri, použili Azure Active Directory (AAD) na registráciu aplikácie, pridali povolenie na overenie iba pre aplikáciu modulu Exchange Online PowerShell, udelili súhlas správcu s týmto povolením a potom udelili roly globálneho správcu a správcu Exchange novoregistrovaným. aplikácie.       

„Aktor hrozby pridal svoje vlastné prihlasovacie údaje do aplikácie OAuth, čo im umožnilo prístup k aplikácii, aj keď im pôvodne napadnutý globálny správca zmenil heslo,“ poznamenáva Microsoft. 

"Uvedené aktivity poskytli aktérovi hrozby kontrolu nad vysoko privilegovanou aplikáciou."

Po tomto všetkom útočníci použili aplikáciu OAuth na pripojenie k modulu Exchange Online PowerShell a zmenu nastavení Exchange, takže server smeroval spam z ich vlastných IP adries súvisiacich s infraštruktúrou útočníka. 

Na tento účel použili funkciu servera Exchange s názvom „konektory“ na prispôsobenie spôsobu, akým e-maily prúdia do az organizácií používajúcich Microsoft 365/Office 365. Herec vytvoril nový vstupný konektor a nastavil tucet “pravidlá prepravy” pre Exchange Online, ktorý odstránil skupinu hlavičiek zo spamu smerovaného na server Exchange, aby zvýšil úspešnosť kampane so spamom. Odstránenie hlavičiek umožňuje e-mailu vyhnúť sa detekcii bezpečnostnými produktmi. 

„Po každej spamovej kampani aktér vymazal škodlivý prichádzajúci konektor a pravidlá prenosu, aby zabránil odhaleniu, zatiaľ čo aplikácia zostala nasadená v nájomníkovi až do ďalšej vlny útoku (v niektorých prípadoch bola aplikácia nečinná niekoľko mesiacov, kým bola znovu použitá. zo strany aktéra hrozby),“ vysvetľuje Microsoft.    

Microsoft minulý rok podrobne opísal, ako útočníci zneužívali protokol OAuth na phishing so súhlasom. Ďalšie známe použitia aplikácií OAuth na škodlivé účely zahŕňajú komunikáciu príkazov a ovládania (C2), zadné vrátka, phishing a presmerovania. Dokonca aj Nobelium, skupina, ktorá zaútočila na SolarWinds v rámci útoku na dodávateľský reťazec, má zneužil OAuth na umožnenie širších útokov.