Tin tặc chiếm máy chủ Microsoft Exchange bằng ứng dụng OAuth
Những kẻ tấn công độc hại đang sử dụng các ứng dụng OAuth giả mạo để giành quyền kiểm soát máy chủ Microsoft Exchange và phát tán thư rác.
Nhiều người thuê đám mây lưu trữ các máy chủ Microsoft Exchange đã bị xâm nhập bởi những kẻ độc hại sử dụng các ứng dụng OAuth để phát tán thư rác.
Mục Lục
Máy chủ Microsoft Exchange được sử dụng để phát tán thư rác
Vào ngày 23 tháng 9 năm 2022, trong một bài đăng trên blog Microsoft Security cho biết kẻ tấn công “tác nhân đe dọa đã phát động các cuộc tấn công nhồi nhét thông tin xác thực nhằm vào các tài khoản có nguy cơ cao không được kích hoạt xác thực đa yếu tố (MFA) và tận dụng các tài khoản quản trị viên không an toàn để đạt được quyền truy cập ban đầu “.
Bằng cách truy cập vào đối tượng thuê đám mây, kẻ tấn công có thể đăng ký một ứng dụng OAuth giả với các quyền cao hơn. Sau đó, kẻ tấn công đã thêm một trình kết nối gửi đến độc hại bên trong máy chủ, cũng như các quy tắc vận chuyển, giúp chúng có khả năng phát tán thư rác qua các miền được nhắm mục tiêu trong khi tránh bị phát hiện. Các quy tắc vận chuyển và kết nối đầu vào cũng bị xóa giữa mỗi chiến dịch để giúp kẻ tấn công bay dưới tầm kiểm soát của radar.
Để thực hiện cuộc tấn công này, kẻ đe dọa đã có thể lợi dụng các tài khoản có rủi ro cao không sử dụng xác thực đa yếu tố. Thư rác này là một phần của một kế hoạch được sử dụng để lừa nạn nhân đăng ký các đăng ký dài hạn.
Giao thức xác thực OAuth ngày càng được sử dụng trong các cuộc tấn công
Trong bài đăng trên blog nói trên, Microsoft cũng tuyên bố rằng họ đã “theo dõi tình trạng lạm dụng ứng dụng OAuth ngày càng phổ biến”. OAuth là một giao thức được sử dụng để đồng ý với các trang web hoặc ứng dụng mà không cần phải tiết lộ mật khẩu của bạn. Nhưng giao thức này đã bị kẻ đe dọa lạm dụng nhiều lần để đánh cắp dữ liệu và tiền.
Trước đây, những kẻ xấu đã sử dụng một ứng dụng OAuth độc hại trong một trò lừa đảo được gọi là “lừa đảo lấy sự đồng ý”. Điều này liên quan đến việc lừa nạn nhân cấp một số quyền nhất định cho các ứng dụng OAuth có hại. Thông qua đó, kẻ tấn công có thể truy cập các dịch vụ đám mây của nạn nhân. Trong những năm gần đây, ngày càng có nhiều tội phạm mạng sử dụng các ứng dụng OAuth độc hại để lừa đảo người dùng, đôi khi để thực hiện hành vi lừa đảo và đôi khi cho các mục đích khác, chẳng hạn như backdoor và chuyển hướng.
Người đứng sau cuộc tấn công này đã chạy các chiến dịch thư rác trước đó
Microsoft đã phát hiện ra rằng tác nhân đe dọa chịu trách nhiệm cho cuộc tấn công Exchange đã chạy các chiến dịch email spam trong một thời gian. Trong cùng một bài đăng trên blog của Microsoft Security, có hai dấu hiệu liên quan đến kẻ tấn công này. Tác nhân đe dọa “tạo ra theo chương trình[s] thư có chứa hai hình ảnh siêu liên kết có thể nhìn thấy trong nội dung email “và sử dụng” nội dung động và ngẫu nhiên được đưa vào trong nội dung HTML của mỗi thư để tránh bộ lọc thư rác “.
Mặc dù các chiến dịch này đã được sử dụng để truy cập thông tin thẻ tín dụng và lừa người dùng bắt đầu đăng ký trả phí, Microsoft tuyên bố rằng dường như không có thêm bất kỳ mối đe dọa bảo mật nào do kẻ tấn công cụ thể này gây ra.
Các ứng dụng hợp pháp tiếp tục bị khai thác bởi những kẻ tấn công
Việc tạo ra các phiên bản giả mạo, độc hại của các ứng dụng đáng tin cậy không phải là điều gì mới mẻ trong không gian tội phạm mạng. Sử dụng một cái tên hợp pháp để lừa nạn nhân đã là một phương thức lừa đảo được yêu thích trong nhiều năm, với mọi người trên khắp thế giới rơi vào những trò lừa đảo như vậy hàng ngày. Đây là lý do tại sao điều tối quan trọng đối với tất cả người dùng internet là sử dụng các biện pháp bảo mật đầy đủ (bao gồm xác thực đa yếu tố) trên tài khoản và thiết bị của họ để giảm nguy cơ xảy ra tấn công mạng.