Microsoft Exchange

Διακομιστές Exchange παραβιάστηκαν μέσω εφαρμογών OAuth για phishing

Η Microsoft λέει ότι ένας παράγοντας απειλών απέκτησε πρόσβαση σε ενοικιαστές cloud που φιλοξενούσαν διακομιστές Microsoft Exchange σε επιθέσεις γεμίσματος διαπιστευτηρίων, με τελικό στόχο την ανάπτυξη κακόβουλων εφαρμογών OAuth και την αποστολή email phishing.

«Η έρευνα αποκάλυψε ότι ο παράγοντας απειλών εξαπέλυσε επιθέσεις πλήρωσης διαπιστευτηρίων εναντίον λογαριασμών υψηλού κινδύνου που δεν είχαν ενεργοποιημένο τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) και χρησιμοποίησε τους μη ασφαλείς λογαριασμούς διαχειριστή για να αποκτήσει αρχική πρόσβαση», δήλωσε η ερευνητική ομάδα του Microsoft 365 Defender.

“Η μη εξουσιοδοτημένη πρόσβαση στον μισθωτή του cloud επέτρεψε στον ηθοποιό να δημιουργήσει μια κακόβουλη εφαρμογή OAuth που πρόσθεσε μια κακόβουλη εισερχόμενη σύνδεση στον διακομιστή email.”

Στη συνέχεια, ο εισβολέας χρησιμοποίησε αυτήν την εισερχόμενη εφαρμογή σύνδεσης και τους κανόνες μεταφοράς που σχεδιάστηκαν για να βοηθήσουν στην αποφυγή εντοπισμού για την παράδοση μηνυμάτων ηλεκτρονικού ψαρέματος μέσω των παραβιασμένων διακομιστών Exchange.

Οι φορείς απειλών διέγραψαν τον κακόβουλο εισερχόμενο σύνδεσμο και όλους τους κανόνες μεταφοράς μεταξύ των καμπανιών ανεπιθύμητης αλληλογραφίας ως πρόσθετο μέτρο αποφυγής άμυνας.

Αντίθετα, η εφαρμογή OAuth παρέμεινε αδρανής για μήνες μεταξύ των επιθέσεων μέχρι να χρησιμοποιηθεί ξανά για την προσθήκη νέων συνδέσεων και κανόνων πριν από το επόμενο κύμα επιθέσεων.

Αυτές οι καμπάνιες ηλεκτρονικού ταχυδρομείου ενεργοποιήθηκαν από την υποδομή ηλεκτρονικού ταχυδρομείου Amazon SES και Mail Chimp που χρησιμοποιούνται συνήθως για μαζική αποστολή email μάρκετινγκ.

Αλυσίδα επίθεσης Exchange OAuth
Αλυσίδα επίθεσης (Microsoft)

​Ο εισβολέας χρησιμοποίησε ένα δίκτυο εφαρμογών ενός ενοικιαστή ως πλατφόρμα ταυτότητας καθ’ όλη τη διάρκεια της επίθεσης.

Αφού εντόπισε την επίθεση, ο Ρέντμοντ κατάργησε όλες τις εφαρμογές που ήταν συνδεδεμένες με αυτό το δίκτυο, έστειλε ειδοποιήσεις και συνέστησε μέτρα αποκατάστασης σε όλους τους πελάτες που επηρεάστηκαν.

Η Microsoft λέει ότι αυτός ο παράγοντας απειλής συνδέθηκε με καμπάνιες που προωθούσαν μηνύματα ηλεκτρονικού ψαρέματος για πολλά χρόνια.

Ο εισβολέας εθεάθη επίσης να στέλνει μεγάλους όγκους ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου εντός σύντομων χρονικών πλαισίων μέσω άλλων μέσων “όπως η σύνδεση με διακομιστές αλληλογραφίας από απατεώνες διευθύνσεις IP ή η απευθείας αποστολή από νόμιμη υποδομή μαζικής αποστολής email που βασίζεται στο cloud”.

«Το κίνητρο του ηθοποιού ήταν να διαδώσει παραπλανητικά μηνύματα spam κληρώσεων που είχαν σχεδιαστεί για να ξεγελάσουν τους παραλήπτες ώστε να παρέχουν στοιχεία πιστωτικής κάρτας και να εγγραφούν σε επαναλαμβανόμενες συνδρομές με το πρόσχημα της νίκης ενός πολύτιμου βραβείου». Η Microsoft αποκάλυψε περαιτέρω.

“Ενώ το σχέδιο οδήγησε πιθανώς σε ανεπιθύμητες χρεώσεις για στόχους, δεν υπήρχαν στοιχεία για απροκάλυπτες απειλές για την ασφάλεια, όπως phishing διαπιστευτηρίων ή διανομή κακόβουλου λογισμικού.”

Leave a Comment

Your email address will not be published.