เหตุใด MFA จึงสำคัญ: ผู้โจมตีเหล่านี้เจาะบัญชีผู้ดูแลระบบแล้วใช้ Exchange เพื่อส่งสแปม

Microsoft ได้เปิดเผยกรณีการใช้แอป OAuth ในทางที่ผิด ซึ่งอนุญาตให้ผู้โจมตีกำหนดค่าเซิร์ฟเวอร์ Exchange ของเหยื่อใหม่เพื่อส่งสแปม     

จุดประสงค์ของการโจมตีที่ซับซ้อนคือการสร้างสแปมจำนวนมาก - ส่งเสริมการชิงโชคปลอม - ดูเหมือนว่ามาจากโดเมน Exchange ที่ถูกบุกรุกมากกว่าต้นกำเนิดจริงซึ่งเป็นที่อยู่ IP ของตนเองหรือบริการการตลาดทางอีเมลของบุคคลที่สามตาม Microsoft . 

อุบายการชิงโชคถูกใช้เพื่อหลอกให้ผู้รับแจ้งรายละเอียดบัตรเครดิตและสมัครสมัครสมาชิกแบบประจำ 

“ในขณะที่โครงการนี้อาจนำไปสู่การคิดค่าใช้จ่ายที่ไม่ต้องการสำหรับเป้าหมาย แต่ก็ไม่มีหลักฐานของการคุกคามด้านความปลอดภัยอย่างโจ่งแจ้ง เช่น ข้อมูลประจำตัวฟิชชิ่งหรือการกระจายมัลแวร์” ทีมวิจัย Microsoft 365 Defender กล่าว

นอกจากนี้: ความปลอดภัยทางไซเบอร์คืออะไรกันแน่? และทำไมมันถึงสำคัญ?

เพื่อให้เซิร์ฟเวอร์ Exchange ส่งสแปม อันดับแรกผู้โจมตีได้บุกรุกผู้เช่าระบบคลาวด์ที่มีการป้องกันต่ำของเป้าหมาย จากนั้นจึงเข้าถึงบัญชีผู้ใช้ที่มีสิทธิ์เพื่อสร้างแอปพลิเคชัน OAuth ที่เป็นอันตรายและมีสิทธิ์ภายในสภาพแวดล้อม OAuth apps ให้ผู้ใช้อนุญาตการเข้าถึงแบบจำกัดแก่ผู้อื่น appsแต่ผู้โจมตีที่นี่ใช้มันต่างกัน 

ไม่มีบัญชีผู้ดูแลระบบที่กำหนดเป้าหมายเปิดการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) ซึ่งอาจหยุดการโจมตีได้

“สิ่งสำคัญคือต้องทราบด้วยว่าผู้ดูแลระบบที่ถูกบุกรุกทั้งหมดไม่ได้เปิดใช้งาน MFA ซึ่งอาจหยุดการโจมตีได้ การสังเกตเหล่านี้ขยายความสำคัญของการรักษาความปลอดภัยบัญชีและการตรวจสอบสำหรับผู้ใช้ที่มีความเสี่ยงสูง โดยเฉพาะอย่างยิ่งผู้ที่มีสิทธิ์สูง” ไมโครซอฟท์กล่าว

เมื่อเข้าไปข้างในแล้ว พวกเขาใช้ Azure Active Directory (AAD) เพื่อลงทะเบียนแอป เพิ่มการอนุญาตสำหรับการตรวจสอบสิทธิ์เฉพาะแอปของโมดูล Exchange Online PowerShell ได้รับความยินยอมจากผู้ดูแลระบบในการอนุญาตนั้น จากนั้นจึงมอบบทบาทผู้ดูแลระบบส่วนกลางและผู้ดูแลระบบ Exchange ให้กับผู้ที่ลงทะเบียนใหม่ แอป.       

“ผู้คุกคามได้เพิ่มข้อมูลประจำตัวของตนเองลงในแอปพลิเคชัน OAuth ซึ่งทำให้เข้าถึงแอปพลิเคชันได้แม้ว่าผู้ดูแลระบบส่วนกลางที่ถูกบุกรุกในขั้นต้นจะเปลี่ยนรหัสผ่าน” Microsoft กล่าว 

“กิจกรรมที่กล่าวถึงทำให้ผู้คุกคามสามารถควบคุมแอปพลิเคชันที่มีสิทธิพิเศษสูงได้”

ทั้งหมดนี้ทำให้ผู้โจมตีใช้แอป OAuth เพื่อเชื่อมต่อกับโมดูล Exchange Online PowerShell และเปลี่ยนการตั้งค่า Exchange เพื่อให้เซิร์ฟเวอร์กำหนดเส้นทางสแปมจากที่อยู่ IP ของตนเองที่เกี่ยวข้องกับโครงสร้างพื้นฐานของผู้โจมตี 

ในการดำเนินการนี้ พวกเขาใช้คุณลักษณะเซิร์ฟเวอร์ Exchange ที่เรียกว่า “การเชื่อมต่อ” สำหรับปรับแต่งวิธีการส่งอีเมล์เข้าและออกจากองค์กรโดยใช้ Microsoft 365/Office 365 นักแสดงได้สร้างตัวเชื่อมต่อขาเข้าใหม่และตั้งค่าโหล “กฎการขนส่ง” สำหรับ Exchange Online ที่ลบชุดส่วนหัวในสแปมที่กำหนดเส้นทางโดย Exchange เพื่อเพิ่มอัตราความสำเร็จของแคมเปญสแปม การนำส่วนหัวออกทำให้อีเมลสามารถหลบเลี่ยงการตรวจจับโดยผลิตภัณฑ์รักษาความปลอดภัย 

“หลังจากแต่ละแคมเปญสแปม นักแสดงได้ลบตัวเชื่อมต่อขาเข้าที่เป็นอันตรายและกฎการขนส่งเพื่อป้องกันการตรวจจับ ในขณะที่แอปพลิเคชันยังคงใช้งานอยู่ในผู้เช่าจนกว่าจะมีการโจมตีระลอกถัดไป (ในบางกรณี แอปอยู่เฉยๆ เป็นเวลาหลายเดือนก่อนที่จะถูกนำมาใช้ซ้ำ) โดยผู้คุกคาม)” Microsoft อธิบาย    

ปีที่แล้ว Microsoft ให้รายละเอียดว่าผู้โจมตีใช้ OAuth ในทางที่ผิดอย่างไรสำหรับการฟิชชิ่งด้วยความยินยอม การใช้แอปพลิเคชัน OAuth ที่เป็นที่รู้จักอื่นๆ เพื่อจุดประสงค์ที่เป็นอันตราย ได้แก่ การสื่อสารด้วยคำสั่งและการควบคุม (C2) แบ็คดอร์ ฟิชชิง และการเปลี่ยนเส้นทาง แม้แต่ Nobelium กลุ่มที่โจมตี SolarWinds ในการโจมตีซัพพลายเชนก็มี ใช้ OAuth ในทางที่ผิดเพื่อเปิดใช้งานการโจมตีในวงกว้าง.