Keli debesų nuomininkai, prieglobantys „Microsoft Exchange“ serverius, buvo pažeisti kenkėjiškų veikėjų, naudodami „OAuth“ programas, kad platintų šlamštą.
„Microsoft Exchange“ serveriai, naudojami šlamštui platinti
2022-09-23 buvo nurodyta a „Microsoft Security“ tinklaraščio įrašas kad užpuolikas „grėsmės veikėjas pradėjo kredencialų užpildymo atakas prieš didelės rizikos paskyras, kurios neturėjo kelių veiksnių autentifikavimas (MFA) įgalino ir panaudojo neapsaugotas administratoriaus paskyras, kad gautų pradinę prieigą“.
Pasiekęs debesies nuomininką, užpuolikas galėjo užregistruoti netikrą OAuth programą su padidintais leidimais. Tada užpuolikas serveryje pridėjo kenkėjišką įeinančią jungtį ir transportavimo taisykles, kurios suteikė jiems galimybę platinti šlamštą tiksliniais domenais, vengdamas aptikimo. Įeinančios jungties ir transportavimo taisyklės taip pat buvo ištrintos tarp kiekvienos kampanijos, siekiant padėti užpuolikui skristi po radaru.
Norėdami įvykdyti šią ataką, grėsmės veikėjas galėjo pasinaudoti didelės rizikos paskyromis, kuriose nebuvo naudojamas kelių veiksnių autentifikavimas. Šis šlamštas buvo schemos, naudojamos siekiant apgauti aukas užsiregistruoti ilgalaikėms prenumeratoms, dalis.
„OAuth“ autentifikavimo protokolas vis dažniau naudojamas atakose
Minėtame tinklaraščio įraše „Microsoft“ taip pat pareiškė, kad „stebi didėjantį piktnaudžiavimo OAuth programomis populiarumą“. OAuth yra protokolas kuris naudojamas norint sutikti su svetainėmis ar programomis neatskleidžiant slaptažodžio. Tačiau grėsmės veikėjas kelis kartus piktnaudžiavo šiuo protokolu, kad pavogtų duomenis ir lėšas.
Anksčiau piktavališki veikėjai naudojo kenkėjišką OAuth programą sukčiavimui, vadinamam „sutikimo sukčiavimu“. Tai apėmė aukų apgaudinėjimą, kad jos suteiktų tam tikrus leidimus žalingoms OAuth programoms. Per tai užpuolikas galėjo pasiekti aukų debesijos paslaugas. Pastaraisiais metais vis daugiau kibernetinių nusikaltėlių naudoja kenkėjiškas „OAuth“ programas, kad galėtų sukčiauti. vartotojams, kartais siekdami sukčiauti, o kartais kitais tikslais, pvz., užpakalinių durų ir peradresavimus.
Aktorius, užėmęs šį išpuolį, vykdė ankstesnes šlamšto kampanijas
„Microsoft“ išsiaiškino, kad grėsmės veikėjas, atsakingas už „Exchange“ ataką, jau kurį laiką vykdė el. pašto šiukšlių kampanijas. Tai buvo nurodyta tame pačiame „Microsoft Security“ tinklaraščio įrašas kad su šiuo užpuoliku siejami du požymiai. Grėsmės veikėjas „programiškai generuoja pranešimus, kuriuose yra du matomi hipersaitų vaizdai el. laiške body“ ir naudoja „dinaminį ir atsitiktinių imčių turinį, įterptą į kiekvieno laiško HTML turinį, kad išvengtų šlamšto filtrai“.
Nors šios kampanijos buvo naudojamos norint pasiekti kredito kortelės informaciją ir priversti vartotojus pradėti mokėti prenumeratos, „Microsoft“ pareiškė, kad neatrodo, kad dėl šios priežasties kiltų jokių papildomų grėsmių saugumui užpuolikas.
Užpuolikai ir toliau naudojasi teisėtomis programėlėmis
Suklastotų, kenkėjiškų patikimų programų versijų kūrimas nėra jokia naujiena elektroninių nusikaltimų srityje. Teisėto vardo naudojimas siekiant apgauti aukas jau daugelį metų buvo mėgstamas sukčiavimo būdas, o žmonės visame pasaulyje kasdien pakliūva į tokias aferas. Štai kodėl labai svarbu, kad visi interneto vartotojai imtųsi tinkamų saugumo priemonių (įskaitant kelių veiksnių autentifikavimas) savo paskyrose ir įrenginiuose, kad būtų išvengta kibernetinės atakos yra nuleisti.
