Microsoft Perşembe günü, Exchange sunucularının kontrolünü ele geçirmek ve spam yaymak için güvenliği ihlal edilmiş bulut kiracılarına dağıtılan hileli OAuth uygulamalarını kullanan, tüketiciye yönelik bir saldırı konusunda uyardı.
Microsoft 365 Defender Araştırma Ekibi, “Tehdit aktörü, çok faktörlü kimlik doğrulama (MFA) etkin olmayan yüksek riskli hesaplara karşı kimlik bilgisi doldurma saldırıları başlattı ve ilk erişim elde etmek için güvenli olmayan yönetici hesaplarından yararlandı.” Dedi.
Bulut kiracısına yetkisiz erişim, saldırganın kötü amaçlı bir OAuth uygulaması kaydetmesine ve ona yükseltilmiş izinler vermesine ve sonunda belirli IP adreslerinden gelen e-postaların güvenliği ihlal edilmiş e-posta sunucusu üzerinden yönlendirilmesine izin vermek için Exchange Sunucusu ayarlarını değiştirmesine izin verdi.
“Exchange sunucusu ayarlarında yapılan bu değişiklikler, tehdit aktörünün saldırıdaki birincil amacını gerçekleştirmesine izin verdi: istenmeyen e-postalar göndermek,” Microsoft söz konusu. “Spam e-postalar, alıcıları tekrarlayan ücretli aboneliklere kaydolmaları için kandırmayı amaçlayan aldatıcı bir çekiliş planının bir parçası olarak gönderildi.”
E-posta mesajları, alıcıları bir ödül almak için bir bağlantıya tıklamaya teşvik etti, bu da kurbanları, kurbanlardan ödülü almak için küçük bir nakliye ücreti karşılığında kredi kartı bilgilerini girmelerini isteyen bir açılış sayfasına yönlendirdi.
Tehdit aktörü ayrıca, kötü amaçlı OAuth uygulamasını kurulduktan sonra kullanmasının haftalar hatta aylar sürmesi ve sonrasında Exchange Sunucusunda yapılan değişiklikleri silmesi de dahil olmak üzere, tespitten kaçınmak ve operasyonlarını uzun süreler boyunca sürdürmek için bir dizi adım gerçekleştirdi. her spam kampanyası.
Microsoft’un tehdit istihbarat bölümü, saldırganın birkaç yıldır aktif olarak spam e-posta kampanyaları yürüttüğünü ve genellikle çeşitli yöntemlerle kısa aralıklarla yüksek hacimli spam e-postaları gönderdiğini söyledi.
Saldırının birincil amacı, farkında olmayan kullanıcıları istenmeyen abonelik hizmetlerine kaydolmaları için kandırmak gibi görünse de, aynı teknik kimlik bilgilerini çalmak veya kötü amaçlı yazılım dağıtmak için kullanılmış olsaydı, çok daha ciddi bir tehdit oluşturabilirdi.
Microsoft, “Takip eden spam kampanyası tüketici e-posta hesaplarını hedeflerken, bu saldırı kurumsal kiracıları bu kampanya için altyapı olarak kullanmayı hedefliyor” dedi. “Bu saldırı, diğer tehdit aktörleri tarafından etkilenen işletmeleri doğrudan etkileyebilecek saldırılarda kullanılabilecek güvenlik zayıflıklarını ortaya koyuyor.”