Flere nettskyleiere som er vert for Microsoft Exchange-servere har blitt kompromittert av ondsinnede aktører som bruker OAuth-apper for å spre spam.
Microsoft Exchange-servere som brukes til å spre spam
Den 23. september 2022 ble det opplyst i en Microsoft Security-blogginnlegg at angriperens «trusselaktør satte i gang credential stuffing-angrep mot høyrisikokontoer som ikke hadde multifaktorautentisering (MFA) aktivert og utnyttet de usikrede administratorkontoene for å få første tilgang".
Ved å få tilgang til nettskyleieren kunne angriperen registrere en falsk OAuth-applikasjon med forhøyede tillatelser. Angriperen la deretter til en ondsinnet innkommende kobling på serveren, samt transportregler, som ga dem muligheten til å spre spam via målrettede domener mens de unndrar seg oppdagelse. Den innkommende koblingen og transportreglene ble også slettet mellom hver kampanje for å hjelpe angriperen med å fly under radaren.
For å utføre dette angrepet var trusselaktøren i stand til å dra nytte av høyrisikokontoer som ikke brukte multifaktorautentisering. Denne spamen var en del av en ordning som ble brukt for å lure ofre til å registrere seg for langsiktige abonnementer.
OAuth-autentiseringsprotokoll brukes i økende grad i angrep
I det nevnte blogginnlegget uttalte Microsoft også at det har "overvåket den økende populariteten til OAuth-applikasjonsmisbruk". OAuth er en protokoll som brukes til å samtykke til nettsteder eller applikasjoner uten å måtte avsløre passordet ditt. Men denne protokollen har blitt misbrukt av en trusselaktør flere ganger for å stjele data og midler.
Tidligere brukte ondsinnede aktører en ondsinnet OAuth-applikasjon i en svindel kjent som "samtykkenettfisking". Dette innebar å lure ofre til å gi visse tillatelser til skadelige OAuth-apper. Gjennom dette kunne angriperen få tilgang til ofrenes skytjenester. De siste årene har flere og flere nettkriminelle brukt ondsinnede OAuth-apper for å svindle brukere, noen ganger for å drive phishing, og noen ganger for andre formål, for eksempel bakdører og omdirigeringer.
Skuespilleren bak dette angrepet har kjørt tidligere spamkampanjer
Microsoft har funnet ut at trusselaktøren som er ansvarlig for Exchange-angrepet, hadde kjørt spam-e-postkampanjer i noen tid. Det sto i det samme Microsoft Security-blogginnlegg at det er to kjennetegn knyttet til denne angriperen. Trusselaktøren "genererer meldinger som inneholder to synlige hyperlenkede bilder i e-posten body", og bruker "dynamisk og randomisert innhold injisert i HTML-teksten til hver e-postmelding for å unngå spam filtre".
Selv om disse kampanjene har blitt brukt til å få tilgang til kredittkortinformasjon og lure brukere til å begynne å betale abonnementer, uttalte Microsoft at det ikke ser ut til å være noen ytterligere sikkerhetstrusler knyttet til dette angriper.
Legitime apper blir fortsatt utnyttet av angripere
Å lage falske, ondsinnede versjoner av pålitelige apper er ikke noe nytt i cyberkriminalitetsområdet. Å bruke et legitimt navn for å lure ofre har vært en favoritt svindelmetode i mange år, med mennesker rundt om i verden som faller for slike svindel på daglig basis. Dette er grunnen til at det er viktig for alle internettbrukere å bruke tilstrekkelige sikkerhetstiltak (inkludert multi-faktor autentisering) på kontoene og enhetene deres slik at sjansene for å støte på et nettangrep er senket.
