Microsoft, bir tehdit aktörünün, kötü niyetli OAuth uygulamaları dağıtmak ve kimlik avı e-postaları göndermek amacıyla, kimlik bilgisi doldurma saldırılarında Microsoft Exchange sunucularını barındıran bulut kiracılarına erişim kazandığını söylüyor.
Microsoft 365 Defender Araştırma Ekibi, “Soruşturma, tehdit aktörünün çok faktörlü kimlik doğrulaması (MFA) etkin olmayan yüksek riskli hesaplara karşı kimlik bilgisi doldurma saldırıları başlattığını ve ilk erişim elde etmek için güvenli olmayan yönetici hesaplarından yararlandığını ortaya koydu.”
“Bulut kiracısına yetkisiz erişim, oyuncunun e-posta sunucusuna kötü niyetli bir gelen bağlayıcı ekleyen kötü niyetli bir OAuth uygulaması oluşturmasını sağladı.”
Saldırgan daha sonra, güvenliği ihlal edilmiş Exchange sunucuları aracılığıyla kimlik avı e-postaları göndermek için algılamadan kaçınmaya yardımcı olmak için tasarlanmış bu gelen bağlayıcıyı ve aktarım kurallarını kullandı.
Tehdit aktörleri, ek bir savunma kaçırma önlemi olarak kötü niyetli gelen bağlayıcıyı ve spam kampanyaları arasındaki tüm taşıma kurallarını sildi.
Buna karşılık, OAuth uygulaması, bir sonraki saldırı dalgasından önce yeni bağlayıcılar ve kurallar eklemek için tekrar kullanılana kadar saldırılar arasında aylarca hareketsiz kaldı.
Bu e-posta kampanyaları, pazarlama e-postalarını toplu olarak göndermek için yaygın olarak kullanılan Amazon SES ve Mail Chimp e-posta altyapısından tetiklendi.
Saldırgan, saldırı boyunca kimlik platformu olarak tek kiracılı uygulamalardan oluşan bir ağ kullandı.
Saldırıyı tespit ettikten sonra Redmond, bu ağa bağlı tüm uygulamaları kaldırdı, uyarılar gönderdi ve etkilenen tüm müşterilere iyileştirme önlemleri önerdi.
Microsoft, bu tehdit aktörünün uzun yıllardır kimlik avı e-postalarını zorlayan kampanyalarla bağlantılı olduğunu söylüyor.
Saldırganın, “haydut IP adreslerinden posta sunucularına bağlanma veya doğrudan meşru bulut tabanlı toplu e-posta gönderme altyapısından gönderme” gibi başka yollarla kısa zaman dilimlerinde yüksek hacimli spam e-postalar gönderdiği de görüldü.
“Aktörün amacı, alıcıları değerli bir ödül kazanma kisvesi altında kredi kartı ayrıntılarını sağlamaya ve tekrarlayan aboneliklere kaydolmaya kandırmak için tasarlanmış aldatıcı çekiliş spam e-postalarını yaymaktı.” Microsoft daha fazla ortaya çıktı.
“Plan, muhtemelen hedefler için istenmeyen ücretlere yol açsa da, kimlik bilgisi avı veya kötü amaçlı yazılım dağıtımı gibi açık güvenlik tehditlerine dair hiçbir kanıt yoktu.”