Salı günü Microsoft, kötü amaçlı yazılım oluşturmak için kullanılan sahte Microsoft İş Ortağı Ağı (MPN) hesaplarını devre dışı bırakmak için adımlar attığını söyledi. OAuth uygulamalar, kuruluşların bulut ortamlarını ihlal etmek ve e-postaları çalmak için tasarlanmış bir kimlik avı kampanyasının parçası olarak.
Teknoloji devi, “Bu dolandırıcı aktörler tarafından oluşturulan uygulamalar daha sonra, kullanıcıları hileli uygulamalara izin vermeleri için kandıran bir rıza kimlik avı kampanyasında kullanıldı.” söz konusu. “Bu kimlik avı kampanyası, ağırlıklı olarak Birleşik Krallık ve İrlanda’da bulunan bir müşteri alt kümesini hedef aldı.”
İzin kimlik avı bir sosyal mühendislik saldırısı burada kullanıcılar, daha sonra yasal bulut hizmetlerine ve hassas kullanıcı verilerine erişim elde etmek için silah haline getirilebilecek kötü amaçlı bulut uygulamalarına izin vermeleri için kandırılır.
Windows üreticisi, kampanyadan 15 Aralık 2022’de haberdar olduğunu söyledi. O zamandan beri, etkilenen müşterileri e-posta yoluyla uyardı ve şirket, tehdit aktörlerinin posta kutularına sızma iznini kötüye kullandığını belirtti.
Bunun da ötesinde Microsoft, güvenlik soruşturması sürecini iyileştirmek için ek güvenlik önlemleri uyguladığını söyledi. Microsoft Bulut İş Ortağı Programı (eski adıyla MPN) ve gelecekte hileli davranış potansiyelini en aza indirin.
Açıklama bir raporla çakışıyor piyasaya sürülmüş Proofpoint tarafından tehdit aktörlerinin Microsoft’un “doğrulanmış yayıncıKuruluşların bulut ortamlarına sızmak için ” durumu.
Kampanyanın dikkat çeken yanı, popüler markaları taklit ederek mavi onaylı rozeti kazanmak için Microsoft’u kandırmayı da başarmış olması. Şirket, “Aktör, Azure AD’de oluşturdukları OAuth uygulama kayıtlarına doğrulanmış bir yayıncı eklemek için sahte ortak hesapları kullandı” dedi.
İlk olarak 6 Aralık 2022’de gözlemlenen bu saldırılar, hedefleri kandırarak erişim yetkisi vermeleri ve veri hırsızlığını kolaylaştırması için Zoom gibi yasal uygulamaların benzer sürümlerini kullandı. Hedefler finans, pazarlama, yöneticiler ve üst düzey yöneticileri içeriyordu.
Proofpoint, kötü amaçlı OAuth uygulamalarının e-posta okuma, posta kutusu ayarlarını yapma ve dosyalara ve kullanıcının hesabına bağlı diğer verilere erişim elde etme gibi “geniş kapsamlı yetki verilmiş izinlere” sahip olduğunu kaydetti.
Aynı zamanda, bir önceki kampanya OAuth uygulama ayrıcalıklarından yararlanmak için mevcut Microsoft onaylı yayıncıların güvenliğini tehlikeye atan en son saldırılar, meşru yayıncıların kimliğine bürünerek doğrulanmış olmak ve hileli uygulamaları dağıtmak için tasarlanmıştır.
Söz konusu uygulamalardan ikisinin adı “Single Sign-on (SSO)”, üçüncü uygulamanın adı ise video konferans yazılımı gibi görünmek amacıyla “Toplantı” olarak adlandırıldı. Üç farklı yayıncı tarafından oluşturulan üç uygulama da aynı şirketleri hedef aldı ve aynı saldırgan kontrollü altyapıdan yararlandı.
Kurumsal güvenlik firması, “Kuruluşlar üzerindeki potansiyel etki, güvenliği ihlal edilmiş kullanıcı hesaplarını, veri hırsızlığını, kimliğine bürünmüş kuruluşların marka kötüye kullanımını, iş e-postası gizliliği (BEC) dolandırıcılığını ve posta kutusunun kötüye kullanımını içerir” dedi.
Kampanyanın, Proofpoint’in 20 Aralık’taki saldırıyı Microsoft’a bildirmesinden ve uygulamaların devre dışı bırakılmasından bir hafta sonra, 27 Aralık 2022’de sona erdiği söyleniyor.
Bulgular, Microsoft’un güvenlik korumalarını atlamak ve kullanıcıların kurumsal satıcılara ve hizmet sağlayıcılara duydukları güveni kötüye kullanmak bir yana, saldırıyı gerçekleştirmedeki karmaşıklığı gösteriyor.
Bu, sahte OAuth uygulamalarının Microsoft’un bulut hizmetlerini hedeflemek için ilk kez kullanılması değil. Ocak 2022’de Proofpoint, başka bir tehdit etkinliğinin ayrıntılarını verdi. OiVaVoii hesaplarının kontrolünü ele geçirmek için üst düzey yöneticileri hedef alan.
Daha sonra Eylül 2022’de Microsoft, güvenliği ihlal edilmiş bulut kiracılarına dağıtılan hileli OAuth uygulamalarını kullanarak Exchange sunucularını ele geçiren ve spam dağıtan bir saldırıyı ortadan kaldırdığını açıkladı.