E-posta Sunucularını Devralmak İçin Kötü Amaçlı OAuth Uygulamalarını Kullanan Bilgisayar Korsanları


Kötü Amaçlı OAuth Uygulamaları

Microsoft Perşembe günü, Exchange sunucularının kontrolünü ele geçirmek ve istenmeyen postaları yaymak için güvenliği ihlal edilmiş bulut kiracılarında hileli OAuth uygulamalarını kullanan, tüketiciye yönelik bir saldırı konusunda uyardı.

Microsoft 365 Defender Araştırma Ekibi, “Tehdit aktörü, çok faktörlü kimlik doğrulama (MFA) etkin olmayan yüksek riskli hesaplara karşı kimlik bilgisi doldurma saldırıları başlattı ve ilk erişim elde etmek için güvenli olmayan yönetici hesaplarından yararlandı.” Dedi.

Siber güvenlik

Bulut kiracısına yetkisiz erişim, saldırganın kötü amaçlı bir OAuth uygulaması kaydetmesine ve ona yükseltilmiş izinler vermesine ve sonunda belirli IP adreslerinden gelen e-postaların güvenliği ihlal edilmiş e-posta sunucusu üzerinden yönlendirilmesine izin vermek için Exchange Sunucusu ayarlarını değiştirmesine izin verdi.

Microsoft, “Exchange sunucusu ayarlarında yapılan bu değişiklikler, tehdit aktörünün saldırıdaki birincil amacını gerçekleştirmesine izin verdi: spam e-postalar göndermek” dedi. “Spam e-postalar, alıcıları tekrarlayan ücretli aboneliklere kaydolmaları için kandırmayı amaçlayan aldatıcı bir çekiliş planının bir parçası olarak gönderildi.”

Kötü Amaçlı OAuth Uygulamaları

E-posta mesajları, alıcıları bir ödül almak için bir bağlantıya tıklamaya teşvik etti, bu da kurbanları, kurbanlardan ödülü almak için küçük bir nakliye ücreti karşılığında kredi kartı bilgilerini girmelerini isteyen bir açılış sayfasına yönlendirdi.

Tehdit aktörü ayrıca, kötü amaçlı OAuth uygulamasını dağıtıldıktan haftalar hatta aylar sonra kullanmak ve her spam kampanyasından sonra Exchange Sunucusunda yapılan değişiklikleri silmek de dahil olmak üzere, tespit edilmekten kaçınmak ve operasyonlarını uzun süreler boyunca sürdürmek için bir dizi adım gerçekleştirdi. .

Siber güvenlik

Microsoft’un tehdit istihbarat bölümü, saldırganın birkaç yıldır aktif olarak spam e-posta kampanyaları yürüttüğünü ve genellikle çeşitli yöntemlerle kısa aralıklarla yüksek hacimli spam e-postaları gönderdiğini söyledi.

Saldırının birincil amacı, farkında olmayan kullanıcıları istenmeyen abonelik hizmetlerine kaydolmaları için kandırmak gibi görünse de, aynı teknik kimlik bilgilerini çalmak veya kötü amaçlı yazılım dağıtmak için kullanılmış olsaydı, çok daha ciddi bir tehdit oluşturabilirdi.

Microsoft, “Takip eden spam kampanyası tüketici e-posta hesaplarını hedeflerken, bu saldırı kurumsal kiracıları bu kampanya için altyapı olarak kullanmayı hedefliyor” dedi. “Bu saldırı, diğer tehdit aktörleri tarafından etkilenen işletmeleri doğrudan etkileyebilecek saldırılarda kullanılabilecek güvenlik zayıflıklarını ortaya koyuyor.”





Source link