Microsoft звітує про аналізовані атаки на хмарний обмін. Зловмисники проникли в облікові записи хмарного обміну, використовуючи облікові дані, відомі паролі з попередніх витоків даних – усе без багатофакторної автентифікації (MFA). Потім все було налаштовано на масову розсилку спаму через ці акаунти.
Дослідники Microsoft нещодавно розслідували атаку, під час якої шкідливі програми Open Authorization (OAuth) розгорталися на скомпрометованих клієнтах хмари, а потім використовувалися для контролю налаштувань Exchange Online і розповсюдження спаму. Розслідування показало, що зловмисник здійснював атаки з використанням облікових даних проти облікових записів із високим ризиком, у яких не було ввімкнено багатофакторну автентифікацію (MFA), і використовував незахищені облікові записи адміністратора для отримання початкового доступу.
Неавторизований доступ до хмарного клієнта дозволив актору створити програму з підтримкою OAuth, яка додала шкідливий вхідний конектор на сервер електронної пошти. Потім актор використовував конектор для надсилання спаму, який, здавалося, надходить безпосередньо з домену. Навіть якщо адміністратор пізніше змінив пароль доступу до свого хмарного обміну, зловмисники могли продовжувати надсилати спам, оскільки вони все одно могли ідентифікувати себе з розміщеної програми за допомогою OAuth.
Зростання зловживань програмами OAuth
Корпорація Майкрософт спостерігає зростання популярності зловживання додатками OAuth. Одним із перших помічених зловмисних застосувань програм OAuth у дикій природі є фішинг згоди. Мета фішингових атак з метою змусити користувачів надати дозволи зловмисним програмам OAuth для отримання доступу до законних хмарних служб користувачів (поштових серверів, сховища файлів, API керування тощо). Останніми роками корпорація Майкрософт помітила, що дедалі більше суб’єктів загрози, включно з національними суб’єктами, використовують програми OAuth для різноманітних зловмисних цілей – командного зв’язку (C2), бекдорів, фішингу, перенаправлення тощо.
Ця нещодавня атака включала мережу програм з одним клієнтом, встановлених у скомпрометованих організаціях і використовуваних як платформу ідентифікації актора для здійснення атаки. Після того, як мережу було виявлено, усі пов’язані програми було закрито, а клієнтам було надіслано сповіщення, у тому числі рекомендовані дії для виправлення.
Усі зловживані облікові записи без використання MFA
У дописі в блозі Microsoft показує, як працював технічний шлях атаки, а також спам-кампанію, яка послідувала. Стаття також містить вказівки для захисників щодо того, як захистити організації від цієї загрози та як технології безпеки Microsoft її виявляють.
Більше на Microsoft.com
Про Microsoft Німеччина Microsoft Deutschland GmbH була заснована в 1983 році як німецька дочірня компанія Microsoft Corporation (Редмонд, США). Корпорація Майкрософт прагне надати можливість кожній людині та кожній організації на планеті досягти більшого. Цю проблему можна подолати лише разом, тому різноманітність і інклюзивність були міцно закріплені в корпоративній культурі з самого початку. Як провідний світовий виробник продуктивних програмних рішень і сучасних послуг в епоху інтелектуальної хмари та інтелектуального краю, а також розробник інноваційного апаратного забезпечення, Microsoft бачить себе партнером для своїх клієнтів, щоб допомогти їм отримати вигоду від цифрової трансформації. Безпека та конфіденційність є головними пріоритетами при розробці рішень. Як найбільший учасник у світі, Microsoft просуває технологію з відкритим кодом через свою провідну платформу розробників GitHub. За допомогою LinkedIn, найбільшої кар’єрної мережі, Microsoft сприяє розвитку професійних мереж у всьому світі.