Чому MFA має значення: ці зловмисники зламали облікові записи адміністратора, а потім використали Exchange для надсилання спаму

Корпорація Майкрософт викрила хитрий випадок зловживання додатком OAuth, який дозволив зловмисникам переналаштувати сервер Exchange жертви для надсилання спаму.     

За словами Microsoft, мета ретельно продуманої атаки полягала в тому, щоб зробити так, щоб масовий спам – реклама підробленого розіграшу – виглядав так, ніби він походить із зламаного домену Exchange, а не з фактичного джерела, яким була або їхня власна IP-адреса, або сторонні маркетингові служби електронної пошти. . 

Розіграш використовувався, щоб обманом змусити одержувачів надати дані кредитної картки та підписатися на регулярні підписки. 

«Хоча схема, ймовірно, призвела до небажаних платежів для цілей, не було жодних доказів явних загроз безпеці, таких як фішинг облікових даних або розповсюдження зловмисного програмного забезпечення», — заявила дослідницька група Microsoft 365 Defender.

А також: Що, власне, таке кібербезпека? І чому це має значення?

Щоб змусити сервер Exchange надсилати спам, зловмисники спочатку скомпрометували погано захищений хмарний клієнт цілі, а потім отримали доступ до привілейованих облікових записів користувачів для створення шкідливих і привілейованих програм OAuth у середовищі. OAuth apps дозволити користувачам надавати обмежений доступ іншим apps, але зловмисники використали це по-іншому. 

Жоден із цільових облікових записів адміністраторів не мав увімкненої багатофакторної автентифікації (MFA), яка могла б зупинити атаки.

«Важливо також відзначити, що в усіх скомпрометованих адміністраторів не було ввімкнено MFA, що могло б зупинити атаку. Ці спостереження підсилюють важливість захисту облікових записів і моніторингу для користувачів із високим рівнем ризику, особливо тих, хто має високий рівень привілеїв», — заявили в Microsoft.

Увійшовши всередину, вони використали Azure Active Directory (AAD), щоб зареєструвати програму, додали дозвіл на автентифікацію лише програми для модуля Exchange Online PowerShell, надали згоду адміністратора на цей дозвіл, а потім надали ролі глобального адміністратора та адміністратора Exchange новозареєстрованим додаток       

«Актор загрози додав власні облікові дані до програми OAuth, що дозволило їм отримати доступ до програми, навіть якщо спочатку скомпрометований глобальний адміністратор змінив свій пароль», — зазначає Microsoft. 

«Згадані дії дали загрозливому суб’єкту контроль над високопривілейованою програмою».

Маючи все це на місці, зловмисники використовували додаток OAuth для підключення до модуля Exchange Online PowerShell і зміни параметрів Exchange, щоб сервер направляв спам з їхніх власних IP-адрес, пов’язаних з інфраструктурою зловмисника. 

Для цього вони використали функцію сервера Exchange під назвою «Роз'єми» для налаштування способу надсилання електронної пошти до та з організацій, які використовують Microsoft 365/Office 365. Актор створив новий вхідний конектор і налаштував десяток «транспортні правила” для Exchange Online, яка видалила набір заголовків у спамі, спрямованому Exchange, щоб підвищити рівень успішності спам-кампанії. Видалення заголовків дозволяє електронному листу уникнути виявлення продуктами безпеки. 

«Після кожної спам-кампанії актор видаляв зловмисний вхідний конектор і правила транспортування, щоб запобігти виявленню, в той час як програма залишалася розгорнутою в клієнті до наступної хвилі атаки (у деяких випадках програма була неактивною протягом місяців, перш ніж її повторно використали). учасником загрози), — пояснює Microsoft.    

Минулого року корпорація Майкрософт детально описала, як зловмисники зловживали OAuth для фішингу згоди. Інші відомі способи використання програм OAuth для зловмисних цілей включають командно-контрольний зв’язок (C2), бекдори, фішинг і перенаправлення. Навіть Nobelium, група, яка атакувала SolarWinds під час атаки на ланцюг поставок, це зробила зловживав протоколом OAuth, щоб увімкнути ширші атаки.