Varför MFA är viktigt: Dessa angripare knäckte administratörskonton och använde sedan Exchange för att skicka skräppost

Microsoft har avslöjat ett listigt fall av OAuth-appmissbruk som gjorde att angriparna kunde konfigurera om offrets Exchange-server för att skicka skräppost.     

Poängen med den utarbetade attacken var att få massskräppost – som främjar en falsk utlottning – att se ut som om den härrörde från den komprometterade Exchange-domänen snarare än det faktiska ursprunget, som antingen var deras egen IP-adress eller tredjepartstjänster för e-postmarknadsföring, enligt Microsoft . 

Sweepstake knep användes för att lura mottagare att ge kreditkortsuppgifter och registrera sig för återkommande prenumerationer. 

"Även om schemat möjligen ledde till oönskade avgifter för mål, fanns det inga bevis för uppenbara säkerhetshot som nätfiske eller spridning av skadlig programvara," sa Microsoft 365 Defender Research Team.

Dessutom: Vad är cybersäkerhet egentligen? Och varför spelar det någon roll?

För att få Exchange-servern att skicka sin skräppost kompromissade angriparna först målets dåligt skyddade molnhyresgäst och fick sedan tillgång till privilegierade användarkonton för att skapa skadliga och privilegierade OAuth-applikationer i miljön. OAuth apps låt användare ge begränsad åtkomst till andra apps, men angriparna här använde det annorlunda. 

Inget av administratörskontona som riktades mot hade multifaktorautentisering (MFA) påslagen, vilket kunde ha stoppat attackerna.

"Det är också viktigt att notera att alla de komprometterade administratörerna inte hade MFA aktiverat, vilket kunde ha stoppat attacken. Dessa observationer förstärker vikten av att säkra konton och övervakning för högriskanvändare, särskilt de med höga privilegier, säger Microsoft.

Väl inne använde de Azure Active Directory (AAD) för att registrera appen, la till en behörighet för app-entifiering av Exchange Online PowerShell-modulen, gav administratörstillstånd till den behörigheten och gav sedan globala administratörs- och Exchange-administratörsroller till de nyregistrerade app.       

"Hotaktören lade till sina egna referenser till OAuth-applikationen, vilket gjorde det möjligt för dem att komma åt applikationen även om den initialt komprometterade globala administratören ändrade sitt lösenord", noterar Microsoft. 

"De nämnda aktiviteterna gav hotaktören kontroll över en mycket privilegierad applikation."

Med allt detta på plats använde angriparna OAuth-appen för att ansluta till Exchange Online PowerShell-modulen och ändra Exchange-inställningar, så att servern dirigerade spam från deras egna IP-adresser relaterade till angriparens infrastruktur. 

För att göra detta använde de en Exchange-serverfunktion som heter "kontakter” för att anpassa hur e-post flödar till och från organisationer som använder Microsoft 365/Office 365. Skådespelaren skapade en ny inkommande anslutning och konfigurerade ett dussin ”transportregler” för Exchange Online som tog bort en uppsättning rubriker i den Exchange-dirigerade skräpposten för att öka framgångsfrekvensen för skräppostkampanjen. Genom att ta bort rubrikerna kan e-postmeddelandet undvika upptäckt av säkerhetsprodukter. 

"Efter varje skräppostkampanj raderade skådespelaren den skadliga inkommande anslutningen och transportreglerna för att förhindra upptäckt, medan applikationen förblev utplacerad i hyresgästen tills nästa våg av attacken (i vissa fall var appen vilande i månader innan den återanvändes av hotaktören), förklarar Microsoft.    

Microsoft förra året detaljerade hur angripare missbrukade OAuth för samtyckesnätfiske. Andra kända användningar av OAuth-applikationer för skadliga syften inkluderar kommando-och-kontroll-kommunikation (C2), bakdörrar, nätfiske och omdirigeringar. Det har till och med Nobelium, gruppen som attackerade SolarWinds i en supply chain-attack missbrukade OAuth för att möjliggöra bredare attacker.