Microsoft upozorava da finansijski motivisani hakeri koriste OAuth aplikacije za automatizaciju BEC i phishing napada, guraju neželjenu poštu i implementiraju VM-ove za cryptomining.
OAuth (skraćeno od Open Authorization) je otvoreni standard za odobravanje aplikacijama bezbjednog delegiranog pristupa serverskim resursima na osnovu korisnički definisanih dozvola putem autentifikacije i autorizacije zasnovane na tokenima bez davanja akreditiva.
Nedavni incidenti koje su istražili stručnjaci iz Microsoft Threat Intelligence-a otkrili su da napadači uglavnom ciljaju na korisničke naloge koji nemaju robusne mehanizme provjere autentičnosti (npr. višefaktorska autentikacija) u phishing ili password-spraying napadima, fokusirajući se na one koji imaju dozvole za kreiranje ili modifikovanje OAuth aplikacija.
Oteti nalozi se zatim koriste za kreiranje novih OAuth aplikacija i daju im visoke privilegije, omogućavajući da njihove zlonamjerne aktivnosti ostanu skrivene, a istovremeno osiguravaju trajan pristup čak i ako se originalni nalog izgubi.
Ove visoko privilegirane OAuth aplikacije se koriste za širok spektar nezakonitih aktivnosti, uključujući postavljanje virtualnih mašina posvećenih rudarenju kriptovaluta, osiguranje kontinuiranog pristupa u napadima Business Email Compromise (BEC) i pokretanje neželjenih kampanja koje iskorištavaju imena domena ugroženih organizacija.
Jedan značajan primjer uključuje hakera praćenog kao Storm-1283, koji je kreirao OAuth aplikaciju za implementaciju virtualnih mašina za rudarenje kriptovaluta. Finansijski uticaj na ciljane organizacije kretao se od 10.000 do 1,5 miliona dolara, u zavisnosti od trajanja napada.
Storm-1283 OAuth attack (Microsoft)
Još jedan haker je iskoristio OAuth aplikacije kreirane korištenjem kompromitovanih naloga kako bi održao postojanost i pokrenuo phishing kampanje koristeći protivnik u sredini (AiTM) phishing kit.
Isti napadač je koristio provaljene naloge za izviđanje poslovne e-pošte (BEC) koristeći Microsoft Outlook Web aplikaciju (OWA) za traženje priloga povezanih sa “plaćanjem” i “fakturom”.
U odvojenim slučajevima, napadač je kreirao višenamjenske OAuth aplikacije za postojanost, dodavanje novih kredencijala i čitanje e-pošte ili slanje phishing e-pošte putem Microsoft Graph API-ja.
“U vrijeme analize, primijetili smo da je haker kreirao oko 17.000 višezakupničkih OAuth aplikacija među različitim zakupcima koristeći višestruke kompromitovane korisničke naloge”, rekao je Microsoft.
“Na osnovu telemetrije e-pošte primijetili smo da su zlonamjerne OAuth aplikacije koje je kreirao haker poslale više od 927.000 phishing poruka e-pošte. Microsoft je uklonio sve pronađene zlonamjerne OAuth aplikacije povezane s ovom kampanjom, koja je trajala od jula do novembra 2023.”
OAuth zloupotrijebljen za phishing napade (Microsoft)
Treći haker praćen kao Storm-1286 je hakovao korisničke naloge koji nisu bili zaštićeni višefaktorskom autentifikacijom (MFA) u nizu password-spraying napada.
Kompromitovani nalozi su zatim korišćeni za kreiranje novih OAuth aplikacija u ciljanoj organizaciji, što je omogućilo napadačima da šalju hiljade neželjenih e-poruka svakog dana, a u nekim slučajevima i mjesecima nakon prvobitne povrede.
Da bi se odbranio od zlonamjernih hakera koji zloupotrebljavaju OAuth aplikacije, Microsoft preporučuje korištenje MFA kako bi se spriječio credential stuffing i phishing napadi.
Sigurnosni timovi bi također trebali omogućiti politike uslovnog pristupa za blokiranje napada koji koriste ukradene kredencijale, kontinuiranu procjenu pristupa kako bi se automatski opozvao pristup korisnika na osnovu okidača rizika i sigurnosne postavke Azure Active Directory kako bi se osiguralo da je MFA omogućen i privilegovane aktivnosti zaštićene.
Izvor: BleepingComputer