چرا MFA اهمیت دارد: این مهاجمان حسابهای مدیریت را کرک کرده و سپس از Exchange برای ارسال هرزنامه استفاده کردند
«بعد از هر کمپین هرزنامه، بازیگر برای جلوگیری از شناسایی، کانکتور ورودی مخرب و قوانین حمل و نقل را حذف میکند، در حالی که برنامه تا موج بعدی حمله در مستاجر باقی میماند (در برخی موارد، برنامه برای ماهها غیرفعال بود قبل از استفاده مجدد. توسط عامل تهدید)،” مایکروسافت توضیح می دهد.
به گفته مایکروسافت، هدف این حمله مفصل این بود که هرزنامههای انبوه – ترویج یک قرعهکشی جعلی – به نظر برسد که از دامنه آسیبدیده Exchange سرچشمه میگیرد و نه منشأ واقعی، که آدرس IP خودشان یا خدمات بازاریابی ایمیل شخص ثالث بود. .
هیچ یک از حسابهای سرپرستی که هدف قرار گرفتند، احراز هویت چند عاملی (MFA) را روشن نکردند که میتوانست حملات را متوقف کند.
مایکروسافت خاطرنشان میکند: «بازیگر تهدید اعتبار خود را به برنامه OAuth اضافه کرد، که به آنها امکان میداد حتی اگر مدیر جهانی که در ابتدا رمز عبور آنها را تغییر داده بود، به برنامه دسترسی داشته باشند.
تصویر: Getty Images/iStockphoto
“فعالیت های ذکر شده به عامل تهدید یک برنامه بسیار ممتاز را کنترل کرد.”
مایکروسافت یک مورد حیله گر سوء استفاده از برنامه OAuth را افشا کرده است که به مهاجمان اجازه می دهد سرور Exchange قربانی را برای ارسال هرزنامه پیکربندی مجدد کنند.
هنگامی که وارد شدند، از Azure Active Directory (AAD) برای ثبت برنامه استفاده کردند، مجوزی برای تأیید اعتبار فقط برنامه ماژول Exchange Online PowerShell اضافه کردند، رضایت مدیر را با آن مجوز صادر کردند، و سپس نقشهای مدیر جهانی و مدیر Exchange را به افرادی که به تازگی ثبت نام کرده بودند، دادند. برنامه
مایکروسافت سال گذشته توضیح داد که چگونه مهاجمان از OAuth برای فیشینگ رضایت سوء استفاده می کنند. سایر کاربردهای شناخته شده برنامه های OAuth برای اهداف مخرب عبارتند از: ارتباطات فرمان و کنترل (C2)، درهای پشتی، فیشینگ و تغییر مسیرها. حتی Nobelium، گروهی که در یک حمله زنجیره تامین به SolarWinds حمله کرد، این کار را انجام داده است از OAuth برای فعال کردن حملات گسترده تر سوء استفاده کرد.
همچنین: امنیت سایبری دقیقاً چیست؟ و آن چرا اهمیت دارد؟
برای اینکه سرور Exchange هرزنامههای خود را ارسال کند، مهاجمان ابتدا مستاجر ابری هدف را که ضعیف محافظت شده بود، به خطر انداختند و سپس به حسابهای کاربری ممتاز برای ایجاد برنامههای OAuth مخرب و دارای امتیاز در محیط دسترسی پیدا کردند. برنامههای OAuth به کاربران اجازه دسترسی محدود به برنامههای دیگر را میدهند، اما مهاجمان در اینجا بهطور متفاوتی از آن استفاده کردند.
مایکروسافت همچنین گفت: “همچنین مهم است که توجه داشته باشید که همه ادمینهای در معرض خطر MFA را فعال نکرده بودند، که میتوانست حمله را متوقف کند. این مشاهدات اهمیت امنیت حسابها و نظارت را برای کاربران پرخطر، به ویژه آنهایی که امتیازات بالایی دارند، تقویت میکند.” گفت.
ترفند قرعه کشی برای فریب گیرندگان برای ارائه جزئیات کارت اعتباری و ثبت نام برای اشتراک های تکراری استفاده شد.
منبع: مایکروسافت
برای انجام این کار از یک ویژگی سرور Exchange به نام ” استفاده کردند.اتصال دهنده ها“برای سفارشی کردن نحوه جریان ایمیل به و از سازمان ها با استفاده از Microsoft 365/Office 365. این بازیگر یک رابط ورودی جدید ایجاد کرد و ده ها را راه اندازی کرد”قوانین حمل و نقلبرای Exchange Online که مجموعهای از سرصفحهها را در هرزنامه مسیریابی شده توسط Exchange حذف کرد تا میزان موفقیت کمپین هرزنامه را افزایش دهد. حذف سرصفحهها به ایمیل اجازه میدهد تا از شناسایی توسط محصولات امنیتی جلوگیری کند.
با همه این موارد، مهاجمان از برنامه OAuth برای اتصال به ماژول Exchange Online PowerShell و تغییر تنظیمات Exchange استفاده کردند، به طوری که سرور هرزنامه ها را از آدرس های IP خود مربوط به زیرساخت مهاجم هدایت می کند.
تیم تحقیقاتی Microsoft 365 Defender گفت: «در حالی که این طرح احتمالاً منجر به هزینههای ناخواسته برای اهداف میشود، هیچ شواهدی مبنی بر تهدیدهای امنیتی آشکار مانند فیشینگ اعتبار یا توزیع بدافزار وجود ندارد.»
