هکرها سرورهای Microsoft Exchange را با برنامه های OAuth تسخیر می کنند

مهاجمان مخرب از برنامه های سرکش OAuth برای به دست آوردن کنترل سرورهای Microsoft Exchange و پخش هرزنامه استفاده می کنند.

چندین مستأجر ابری که سرورهای Microsoft Exchange را میزبانی می‌کنند توسط عوامل مخرب که از برنامه‌های OAuth برای پخش هرزنامه استفاده می‌کنند، در معرض خطر قرار گرفته‌اند.

سرورهای اکسچنج مایکروسافت برای پخش هرزنامه استفاده می شود

در 23 سپتامبر 2022، در یک پست وبلاگ امنیتی مایکروسافت بیان شد که مهاجم “بازیگر تهدید، حملات پرخطری را علیه حساب‌های پرخطری که احراز هویت چندعاملی (MFA) را فعال نکرده بودند، انجام داد و از حساب‌های سرپرست ناامن استفاده کرد. دسترسی اولیه به دست آورید».

با دسترسی به مستاجر ابری، مهاجم توانست یک برنامه OAuth جعلی با مجوزهای بالا را ثبت کند. سپس مهاجم یک کانکتور ورودی مخرب و همچنین قوانین حمل و نقل را در سرور اضافه کرد که به آنها توانایی پخش هرزنامه را از طریق دامنه های هدفمند و در عین حال فرار از شناسایی می داد. کانکتور ورودی و قوانین حمل و نقل نیز در بین هر کمپین حذف شد تا به مهاجم کمک کند زیر رادار پرواز کند.

برای اجرای این حمله، عامل تهدید توانست از حساب‌های پرخطری که از احراز هویت چند عاملی استفاده نمی‌کردند، استفاده کند. این هرزنامه بخشی از طرحی بود که برای فریب قربانیان برای ثبت نام برای اشتراک های طولانی مدت استفاده می شد.

پروتکل احراز هویت OAuth به طور فزاینده ای در حملات استفاده می شود

در پست وبلاگ فوق، مایکروسافت همچنین اعلام کرد که “محبوبیت فزاینده سوء استفاده از برنامه OAuth را زیر نظر دارد”. OAuth پروتکلی است که برای رضایت از وب سایت ها یا برنامه ها بدون نیاز به فاش کردن رمز عبور شما استفاده می شود. اما این پروتکل چندین بار توسط یک عامل تهدید برای سرقت داده ها و منابع مالی مورد سوء استفاده قرار گرفته است.

پیش از این، بازیگران مخرب از یک برنامه مخرب OAuth در یک کلاهبرداری به نام “فیشینگ رضایت” استفاده می کردند. این شامل فریب قربانیان برای اعطای مجوزهای خاص به برنامه های مضر OAuth بود. از این طریق، مهاجم می تواند به خدمات ابری قربانیان دسترسی داشته باشد. در سال‌های اخیر، مجرمان سایبری بیشتر و بیشتری از برنامه‌های مخرب OAuth برای کلاهبرداری از کاربران، گاهی برای انجام فیشینگ، و گاهی برای اهداف دیگر، مانند درهای پشتی و تغییر مسیرها، استفاده می‌کنند.

بازیگر پشت این حمله کمپین های اسپم قبلی را اجرا کرده است

مایکروسافت دریافته است که عامل تهدید مسئول حمله Exchange مدتی است که کمپین های ایمیل اسپم را اجرا کرده است. در همان پست وبلاگ امنیتی مایکروسافت بیان شد که دو علامت مشخص در ارتباط با این مهاجم وجود دارد. عامل تهدید “به صورت برنامه‌ای پیام‌هایی حاوی دو تصویر پیوندی قابل مشاهده در بدنه ایمیل تولید می‌کند” و از “محتوای پویا و تصادفی تزریق شده در بدنه HTML هر پیام ایمیل برای فرار از فیلترهای هرزنامه” استفاده می‌کند.

اگرچه از این کمپین ها برای دسترسی به اطلاعات کارت اعتباری و فریب کاربران برای شروع اشتراک پولی استفاده شده است، مایکروسافت اعلام کرد که به نظر نمی رسد تهدید امنیتی دیگری توسط این مهاجم خاص ایجاد شود.

برنامه های قانونی همچنان توسط مهاجمان مورد سوء استفاده قرار می گیرند

ایجاد نسخه های جعلی و مخرب برنامه های قابل اعتماد در فضای جرایم سایبری چیز جدیدی نیست. استفاده از یک نام قانونی برای فریب قربانیان برای سال‌های متمادی روش مورد علاقه کلاهبرداری بوده است و مردم در سراسر جهان هر روز گرفتار چنین کلاهبرداری‌هایی می‌شوند. به همین دلیل است که برای همه کاربران اینترنت بسیار مهم است که از اقدامات امنیتی کافی (از جمله احراز هویت چند عاملی) در حساب ها و دستگاه های خود استفاده کنند تا احتمال حمله سایبری کاهش یابد.

منبع مقاله