Mehrere Cloud-Mandanten, die Microsoft Exchange-Server hosten, wurden von böswilligen Akteuren kompromittiert, die OAuth-Apps verwenden, um Spam zu verbreiten.
Microsoft Exchange-Server werden zur Verbreitung von Spam verwendet
Am 23. September 2022 wurde in a Microsoft-Blogbeitrag zur Sicherheit dass der Angreifer „Bedrohungsakteur Credential-Stuffing-Angriffe gegen Konten mit hohem Risiko gestartet hat, die keine hatten Multi-Faktor-Authentifizierung (MFA) aktiviert und die ungesicherten Administratorkonten genutzt, um anfänglichen Zugriff zu erhalten".
Durch den Zugriff auf den Cloud-Mandanten konnte der Angreifer eine gefälschte OAuth-Anwendung mit erhöhten Berechtigungen registrieren. Der Angreifer fügte dann innerhalb des Servers einen böswilligen eingehenden Konnektor sowie Transportregeln hinzu, die ihm die Möglichkeit gaben, Spam über Zieldomänen zu verbreiten und sich dabei der Erkennung zu entziehen. Der eingehende Connector und die Transportregeln wurden zwischen den einzelnen Kampagnen ebenfalls gelöscht, um dem Angreifer zu helfen, unter dem Radar zu fliegen.
Um diesen Angriff auszuführen, konnte der Angreifer Konten mit hohem Risiko ausnutzen, die keine Multi-Faktor-Authentifizierung verwendeten. Dieser Spam war Teil eines Schemas, mit dem Opfer dazu verleitet wurden, sich für langfristige Abonnements anzumelden.
OAuth-Authentifizierungsprotokoll wird zunehmend bei Angriffen verwendet
In dem oben genannten Blog-Beitrag erklärte Microsoft auch, dass es „die steigende Popularität des Missbrauchs von OAuth-Anwendungen überwacht“. OAuth ist ein Protokoll die verwendet wird, um Websites oder Anwendungen zuzustimmen, ohne Ihr Passwort preisgeben zu müssen. Dieses Protokoll wurde jedoch mehrfach von einem Bedrohungsakteur missbraucht, um Daten und Gelder zu stehlen.
Zuvor verwendeten böswillige Akteure eine bösartige OAuth-Anwendung in einem Betrug, der als „Consent Phishing“ bekannt ist. Dabei wurden Opfer dazu verleitet, schädlichen OAuth-Apps bestimmte Berechtigungen zu erteilen. Dadurch konnte der Angreifer auf die Cloud-Dienste der Opfer zugreifen. In den letzten Jahren haben immer mehr Cyberkriminelle bösartige OAuth-Apps zum Betrügen verwendet Benutzer, manchmal um Phishing durchzuführen, und manchmal für andere Zwecke, wie z. B. Backdoors und Weiterleitungen.
Der Akteur hinter diesem Angriff hat frühere Spam-Kampagnen durchgeführt
Microsoft hat herausgefunden, dass der für den Exchange-Angriff verantwortliche Angreifer seit einiger Zeit Spam-E-Mail-Kampagnen durchführt. So wurde es auch erklärt Microsoft-Blogbeitrag zur Sicherheit dass es zwei Markenzeichen gibt, die mit diesem Angreifer verbunden sind. Der Bedrohungsakteur „generiert programmgesteuert Nachrichten, die zwei sichtbare verlinkte Bilder in der E-Mail enthalten body" und verwendet "dynamischen und randomisierten Inhalt, der in den HTML-Text jeder E-Mail-Nachricht eingefügt wird, um Spam zu vermeiden Filter".
Obwohl diese Kampagnen verwendet wurden, um auf Kreditkarteninformationen zuzugreifen und Benutzer dazu zu bringen, mit der Bezahlung zu beginnen Abonnements gab Microsoft an, dass es keine weiteren Sicherheitsbedrohungen zu geben scheint, die von diesem speziellen Problem ausgehen Angreifer.
Legitime Apps werden weiterhin von Angreifern ausgenutzt
Das Erstellen gefälschter, bösartiger Versionen vertrauenswürdiger Apps ist im Bereich der Cyberkriminalität nichts Neues. Die Verwendung eines legitimen Namens zur Täuschung von Opfern ist seit vielen Jahren eine beliebte Betrugsmethode, bei der Menschen auf der ganzen Welt täglich auf solche Betrügereien hereinfallen. Aus diesem Grund ist es für alle Internetbenutzer von größter Bedeutung, angemessene Sicherheitsmaßnahmen (einschließlich Multi-Faktor-Authentifizierung) auf ihren Konten und Geräten, um die Wahrscheinlichkeit eines Cyberangriffs zu verringern sind abgesenkt.
