Η Microsoft λέει ότι ένας απειλητικός παράγοντας απέκτησε πρόσβαση σε cloud tenants που φιλοξενούν servers Microsoft Exchange σε επιθέσεις credential stuffing, με τελικό στόχο την ανάπτυξη κακόβουλων εφαρμογών OAuth και την αποστολή phishing emails.
Δείτε επίσης: CISA: Κρίσιμο σφάλμα ManageEngine RCE χρησιμοποιείται σε επιθέσεις
“Η έρευνα αποκάλυψε ότι ο απειλητικός παράγοντας εξαπέλυσε επιθέσεις credential stuffing εναντίον λογαριασμών υψηλού κινδύνου που δεν είχαν ενεργοποιημένο έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) και χρησιμοποίησε τους unsecured λογαριασμούς διαχειριστή για να αποκτήσει αρχική πρόσβαση”, αποκάλυψε η ερευνητική ομάδα του Microsoft 365 Defender.
Δείτε επίσης: Η Optus γνώριζε για την επίθεση 24 ώρες πριν ειδοποιήσει τα μέσα ενημέρωσης
“Η μη εξουσιοδοτημένη πρόσβαση στον cloud tenant επέτρεψε στον χάκερ να δημιουργήσει μια κακόβουλη εφαρμογή OAuth που πρόσθεσε μια κακόβουλη εισερχόμενη σύνδεση στον email server.”
Στη συνέχεια, ο εισβολέας χρησιμοποίησε αυτήν την εισερχόμενη εφαρμογή σύνδεσης και τους κανόνες μεταφοράς που έχουν σχεδιαστεί για να βοηθήσουν στην αποφυγή εντοπισμού για την παράδοση phishing email μέσω των παραβιασμένων server Microsoft Exchange.
Οι απειλητικοί φορείς διέγραψαν το κακόβουλο inbound connector και όλους τους κανόνες μεταφοράς μεταξύ των καμπανιών spam ως πρόσθετο μέτρο defense evasion.
Αντίθετα, η εφαρμογή OAuth παρέμεινε αδρανής για μήνες μεταξύ των επιθέσεων μέχρι να χρησιμοποιηθεί ξανά για την προσθήκη νέων συνδέσεων και κανόνων πριν από το επόμενο κύμα επιθέσεων.
Αυτές οι καμπάνιες email ενεργοποιήθηκαν από την υποδομή email Amazon SES και Mail Chimp που χρησιμοποιούνται συνήθως για μαζική αποστολή email μάρκετινγκ.
Ο εισβολέας χρησιμοποίησε ένα δίκτυο εφαρμογών ενός tenant ως πλατφόρμα ταυτότητας καθ’ όλη τη διάρκεια της επίθεσης.
Αφού εντόπισε την επίθεση, η εταιρεία κατάργησε όλες τις εφαρμογές που ήταν συνδεδεμένες με αυτό το δίκτυο, έστειλε ειδοποιήσεις και συνέστησε μέτρα αποκατάστασης σε όλους τους πελάτες που επηρεάστηκαν.
Η Microsoft λέει ότι αυτός ο απειλητικός παράγοντας συνδέθηκε με καμπάνιες που προωθούσαν phishing emails για πολλά χρόνια.
Ο εισβολέας εθεάθη επίσης να στέλνει μεγάλους όγκους ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου εντός σύντομων χρονικών πλαισίων μέσω άλλων μέσων “όπως η σύνδεση με διακομιστές αλληλογραφίας από rogue διευθύνσεις IP ή η απευθείας αποστολή από νόμιμη υποδομή μαζικής αποστολής email που βασίζεται στο cloud“.
Δείτε επίσης: Χάκερ κλέβουν λογαριασμούς GitHub μέσω ψεύτικων ειδοποιήσεων CircleCI
«Το κίνητρο του χάκερ ήταν να διαδώσει παραπλανητικά μηνύματα spam για κληρώσεις που είχαν σχεδιαστεί για να ξεγελάσουν τους παραλήπτες ώστε να παρέχουν στοιχεία πιστωτικής κάρτας και να εγγραφούν σε επαναλαμβανόμενες συνδρομές με το πρόσχημα της νίκης ενός πολύτιμου βραβείου», αποκάλυψε περαιτέρω η Microsoft.
«Ενώ το σχέδιο οδήγησε πιθανώς σε ανεπιθύμητες χρεώσεις για στόχους, δεν υπήρχαν στοιχεία για απροκάλυπτες απειλές ασφαλείας, όπως credential phishing ή διανομή malware».
Πηγή πληροφοριών: bleepingcomputer.com
