Microsoft Exchange sunucularını barındıran birden çok bulut kiracısının güvenliği, spam yaymak için OAuth uygulamalarını kullanan kötü niyetli aktörler tarafından ele geçirildi.
Spam Yaymak İçin Kullanılan Microsoft Exchange Sunucuları
23 Eylül 2022'de bir açıklamada belirtildi. Microsoft Güvenlik blog gönderisi saldırganın "tehdit aktörünün sahip olmadığı yüksek riskli hesaplara kimlik bilgileri doldurma saldırıları başlattığını" çok faktörlü kimlik doğrulama (MFA) ilk erişimi elde etmek için güvenli olmayan yönetici hesaplarını etkinleştirdi ve bunlardan yararlandı".
Saldırgan, bulut kiracısına erişerek yükseltilmiş izinlere sahip sahte bir OAuth uygulamasını kaydetmeyi başardı. Saldırgan daha sonra, sunucuya kötü amaçlı bir gelen bağlayıcının yanı sıra, tespitten kaçarken hedeflenen etki alanları aracılığıyla spam yayma yeteneği veren aktarım kuralları ekledi. Saldırganın radarın altından uçmasına yardımcı olmak için her kampanya arasında gelen bağlayıcı ve taşıma kuralları da silindi.
Tehdit aktörü, bu saldırıyı gerçekleştirmek için çok faktörlü kimlik doğrulama kullanmayan yüksek riskli hesaplardan yararlanmayı başardı. Bu spam, kurbanları uzun vadeli aboneliklere kaydolmaları için kandırmak için kullanılan bir planın parçasıydı.
Saldırılarda Artan Bir Şekilde Kullanılan OAuth Kimlik Doğrulama Protokolü
Bahsi geçen blog gönderisinde Microsoft, "OAuth uygulama kötüye kullanımının artan popülaritesini izlediğini" de belirtti. OAuth bir protokoldür şifrenizi ifşa etmek zorunda kalmadan web sitelerine veya uygulamalara izin vermek için kullanılan. Ancak bu protokol, bir tehdit aktörü tarafından verileri ve fonları çalmak için birçok kez kötüye kullanıldı.
Önceden, kötü niyetli aktörler, "rıza kimlik avı" olarak bilinen bir dolandırıcılıkta kötü amaçlı bir OAuth uygulaması kullanıyordu. Bu, kurbanları zararlı OAuth uygulamalarına belirli izinler vermeleri için kandırmayı içeriyordu. Bu sayede saldırgan, kurbanların bulut hizmetlerine erişebilir. Son yıllarda, giderek daha fazla sayıda siber suçlu, dolandırmak için kötü amaçlı OAuth uygulamalarını kullanıyor. Kullanıcılar, bazen kimlik avı yapmak için, bazen de arka kapılar ve yönlendirmeler.
Bu Saldırının Arkasındaki Aktör Önceki Spam Kampanyalarını Yürüttü
Microsoft, Exchange saldırısından sorumlu olan tehdit aktörünün bir süredir spam e-posta kampanyaları yürüttüğünü tespit etti. Aynı şekilde belirtilmiş Microsoft Güvenlik blog gönderisi bu saldırganla ilişkili iki özellik olduğunu. Tehdit aktörü, "e-postada iki görünür köprü bağlantılı görüntü içeren mesajları programlı olarak oluşturur gövdesi" olarak adlandırır ve spam'den kaçınmak için "her posta iletisinin HTML gövdesine enjekte edilen dinamik ve rasgele içerik kullanır" filtreler".
Bu kampanyalar, kredi kartı bilgilerine erişmek ve kullanıcıları kandırarak ödeme yapmaya başlamaları için kullanılmış olsa da abonelikler, Microsoft, bu özel durumun ortaya çıkardığı herhangi bir başka güvenlik tehdidinin görünmediğini belirtti. saldırgan
Meşru Uygulamalar Saldırganlar Tarafından İstismar Edilmeye Devam Ediyor
Güvenilir uygulamaların sahte, kötü amaçlı sürümlerini oluşturmak, siber suç alanında yeni bir şey değil. Kurbanları kandırmak için meşru bir isim kullanmak, dünyanın dört bir yanındaki insanların her gün bu tür dolandırıcılıklara kanmasıyla yıllardır favori bir dolandırıcılık yöntemi olmuştur. Bu nedenle, tüm internet kullanıcılarının yeterli güvenlik önlemlerini (ör. hesaplarında ve cihazlarında çok faktörlü kimlik doğrulama), böylece bir siber saldırıya uğrama şansı indirilir.
