Meerdere cloudtenants die Microsoft Exchange-servers hosten, zijn gecompromitteerd door kwaadwillende actoren die OAuth-apps gebruiken om spam te verspreiden.
Microsoft Exchange-servers gebruikt om spam te verspreiden
Op 23 september 2022 is in a Blogbericht over Microsoft-beveiliging dat de aanvaller "dreigingsacteur credential stuffing-aanvallen lanceerde tegen accounts met een hoog risico die dat niet hadden meervoudige authenticatie (MFA) ingeschakeld en gebruik gemaakt van de onbeveiligde beheerdersaccounts om initiële toegang te krijgen".
Door toegang te krijgen tot de cloudtenant kon de aanvaller een valse OAuth-applicatie met verhoogde machtigingen registreren. De aanvaller voegde vervolgens een kwaadaardige inkomende connector toe aan de server, evenals transportregels, waardoor ze spam konden verspreiden via gerichte domeinen en tegelijkertijd detectie konden omzeilen. De inkomende connector en transportregels werden ook tussen elke campagne verwijderd om de aanvaller te helpen onder de radar te vliegen.
Om deze aanval uit te voeren, kon de bedreigingsactor misbruik maken van accounts met een hoog risico die geen multi-factor authenticatie gebruikten. Deze spam maakte deel uit van een plan dat werd gebruikt om slachtoffers te misleiden zodat ze zich aanmeldden voor langetermijnabonnementen.
OAuth-authenticatieprotocol dat steeds vaker wordt gebruikt bij aanvallen
In de bovengenoemde blogpost verklaarde Microsoft ook dat het "de stijgende populariteit van OAuth-toepassingsmisbruik in de gaten houdt". OAuth is een protocol die wordt gebruikt om toestemming te geven voor websites of applicaties zonder dat u uw wachtwoord hoeft te onthullen. Maar dit protocol is meerdere keren misbruikt door een bedreigingsactor om gegevens en geld te stelen.
Voorheen gebruikten kwaadwillende actoren een kwaadaardige OAuth-toepassing in een vorm van zwendel die bekend staat als 'toestemmingsphishing'. Dit betrof het misleiden van slachtoffers om bepaalde machtigingen te verlenen aan schadelijke OAuth-apps. Hierdoor kon de aanvaller toegang krijgen tot de clouddiensten van de slachtoffers. De afgelopen jaren gebruiken steeds meer cybercriminelen kwaadaardige OAuth-apps om op te lichten gebruikers, soms om phishing uit te voeren, en soms voor andere doeleinden, zoals backdoors en omleidingen.
Acteur achter deze aanval heeft eerdere spamcampagnes uitgevoerd
Microsoft heeft ontdekt dat de bedreigingsactor die verantwoordelijk was voor de Exchange-aanval al enige tijd spam-e-mailcampagnes voerde. Daarin stond het ook Blogbericht over Microsoft-beveiliging dat er twee kenmerken aan deze aanvaller zijn gekoppeld. De bedreigingsactor "genereert programmatisch berichten met twee zichtbare hyperlinkafbeeldingen in de e-mail body", en gebruikt "dynamische en willekeurige inhoud die in de HTML-body van elk e-mailbericht wordt geïnjecteerd om spam te omzeilen filters".
Hoewel deze campagnes zijn gebruikt om toegang te krijgen tot creditcardgegevens en gebruikers te misleiden om betaald te beginnen abonnementen, verklaarde Microsoft dat er geen verdere beveiligingsbedreigingen lijken te zijn aanvaller.
Legitieme apps worden nog steeds misbruikt door aanvallers
Het maken van valse, kwaadaardige versies van vertrouwde apps is niets nieuws op het gebied van cybercriminaliteit. Het gebruik van een legitieme naam om slachtoffers te misleiden is al jaren een favoriete zwendelmethode, waarbij mensen over de hele wereld dagelijks in dergelijke oplichters trappen. Daarom is het van het grootste belang dat alle internetgebruikers adequate beveiligingsmaatregelen (inclusief multi-factor authenticatie) op hun accounts en apparaten, zodat de kans op een cyberaanval kleiner wordt zijn verlaagd.