Haitalliset toimijat, jotka käyttävät OAuth-sovelluksia roskapostin levittämiseen, ovat vaarantuneet useisiin Microsoft Exchange -palvelimia isännöiviin pilvivuokralaisiin.
Microsoft Exchange -palvelimet, joita käytetään roskapostin levittämiseen
23.9.2022 todettiin a Microsoft Security -blogiviesti että hyökkääjä "uhkanäyttelijä aloitti tunnistetietojen täyttämishyökkäyksiä korkean riskin tilejä vastaan, joilla ei ollut monitekijätodennus (MFA) otti käyttöön ja hyödynsi suojaamattomat järjestelmänvalvojan tilit saadakseen ensimmäisen käyttöoikeuden".
Päästyessään pilvivuokraajaan hyökkääjä pystyi rekisteröimään väärän OAuth-sovelluksen korotetuilla käyttöoikeuksilla. Hyökkääjä lisäsi sitten palvelimeen haitallisen saapuvan liittimen sekä siirtosäännöt, jotka antoivat heille mahdollisuuden levittää roskapostia kohdistettujen verkkotunnusten kautta ja välttää havaitsemista. Sisääntuleva liitin ja kuljetussäännöt poistettiin myös kunkin kampanjan välillä, jotta hyökkääjä lentää tutkan alle.
Tämän hyökkäyksen toteuttamiseksi uhkatekijä pystyi hyödyntämään riskialttiita tilejä, jotka eivät käyttäneet monitekijätodennusta. Tämä roskaposti oli osa järjestelmää, jolla uhrit huijattiin hankkimaan pitkäaikaisia tilauksia.
OAuth-todennusprotokollaa käytetään yhä enemmän hyökkäyksissä
Edellä mainitussa blogiviestissä Microsoft totesi myös, että se on "seurannut OAuth-sovellusten väärinkäytön kasvavaa suosiota". OAuth on protokolla jota käytetään verkkosivustojen tai sovellusten hyväksymiseen ilman, että sinun tarvitsee paljastaa salasanaasi. Mutta uhkatoimija on käyttänyt tätä protokollaa väärin useita kertoja varastaakseen tietoja ja varoja.
Aiemmin haitalliset toimijat käyttivät haitallista OAuth-sovellusta huijauksessa, joka tunnettiin nimellä "suostumustietojenkalastelu". Tämä sisälsi uhrien huijaamisen myöntämään tiettyjä lupia haitallisille OAuth-sovelluksille. Tämän kautta hyökkääjä pääsi käsiksi uhrien pilvipalveluihin. Viime vuosina yhä useammat kyberrikolliset ovat käyttäneet haitallisia OAuth-sovelluksia huijatakseen käyttäjille, joskus tietojenkalastelua varten ja joskus muihin tarkoituksiin, kuten takaoviin ja uudelleenohjaukset.
Tämän hyökkäyksen takana oleva näyttelijä on käynnistänyt aiempia roskapostikampanjoita
Microsoft on havainnut, että Exchange-hyökkäyksestä vastuussa oleva uhkatekijä oli harjoittanut roskapostikampanjoita jo jonkin aikaa. Samassa todettiin Microsoft Security -blogiviesti että tähän hyökkääjään liittyy kaksi tunnusmerkkiä. Uhkatoimija "luo ohjelmallisesti viestejä, jotka sisältävät kaksi näkyvää hyperlinkkikuvaa sähköpostissa body" ja käyttää "dynaamista ja satunnaista sisältöä, joka on lisätty jokaisen sähköpostiviestin HTML-tekstiin roskapostin välttämiseksi suodattimet".
Vaikka näitä kampanjoita on käytetty luottokorttitietojen saamiseksi ja käyttäjiä huijaamaan aloittamaan maksu tilauksia, Microsoft totesi, että tämä ei näytä aiheuttavan muita tietoturvauhkia hyökkääjä.
Hyökkääjät käyttävät edelleen laillisia sovelluksia hyväkseen
Väärennettyjen, haitallisten versioiden luominen luotetuista sovelluksista ei ole mitään uutta kyberrikollisuuden alalla. Laillisen nimen käyttäminen uhrien huijaamiseen on ollut suosittu huijausmenetelmä useiden vuosien ajan, ja ihmiset ympäri maailmaa joutuvat tällaisiin huijauksiin päivittäin. Tästä syystä on ensiarvoisen tärkeää, että kaikki internetin käyttäjät käyttävät riittäviä turvatoimia (mukaan lukien monitekijätodennus) tileillään ja laitteillaan, jotta ne voivat joutua kyberhyökkäykseen lasketaan alas.
