威胁参与者通过在受感染的云租户上部署OAuth应用程序控制Exchange服务器并发送垃圾邮件。微软发现攻击者针对未启用多因素认证的管理员账户发起攻击,并创建恶意OAuth应用发送欺诈邮件。建议实施多因素认证加强安全。
威胁参与者在受感染的云租户上部署OAuth应用程序,然后使用它们来控制Exchange服务器并传播垃圾邮件。
该消息是微软研究人员调查的结果。它揭示了威胁行为者对未启用多因素身份验证 (MFA) 以获得初始访问权限的高风险、不安全的管理员帐户发起了凭据填充攻击(使用受损用户凭据列表)。
微软在一篇博文中写道:“对云租户的未经授权的访问使攻击者能够创建一个恶意OAuth应用程序,该应用程序在电子邮件服务器中添加了一个恶意入站连接器。”
据报道,该演员随后使用恶意入站连接器发送看起来像是来自目标真实域的垃圾邮件。
这些垃圾邮件是作为欺骗性抽奖计划的一部分发送的,旨在诱骗收件人注册定期付费订阅。
微软在公告中写道:“OAuth 应用程序滥用的流行最近一直在上升,尤其是依赖于同意网络钓鱼的尝试(诱使用户授予恶意OAuth应用程序的权限)。”
在过去几年中,微软观察到越来越多的威胁行为者,一直在将 OAuth 应用程序用于不同的恶意目的,例如命令和控制(C2)通信、后门、网络钓鱼、重定向等等。
至于微软最近见证的攻击,它涉及使用安装在受感染组织中的单租户应用程序网络作为攻击者的身份平台来执行攻击。
网络一曝光,所有相关应用程序都被删除,并向客户发送通知,包括建议的补救措施。
根据微软的说法,这次攻击暴露了安全弱点,其他威胁参与者可能会利用这些弱点进行直接影响受影响企业的攻击。
为了减少攻击面并减轻此类攻击的影响,Microsoft 建议实施 MFA 并在 Azure Active Directory (AD) 中启用条件访问策略、持续访问评估 (CAE) 和安全默认值。
几个月前,GitHub 透露多个组织遭到数据窃贼的入侵,该窃贼使用被盗的 OAuth 令牌访问其私人存储库。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
