Beberapa penyewa cloud yang menghosting server Microsoft Exchange telah disusupi oleh pelaku jahat menggunakan aplikasi OAuth untuk menyebarkan spam.
Server Microsoft Exchange Digunakan untuk Menyebarkan Spam
Pada tanggal 23 September 2022, tertuang dalam a Posting blog Keamanan Microsoft bahwa penyerang "aktor ancaman meluncurkan serangan isian kredensial terhadap akun berisiko tinggi yang tidak memilikinya autentikasi multifaktor (MFA) mengaktifkan dan memanfaatkan akun administrator yang tidak aman untuk mendapatkan akses awal".
Dengan mengakses penyewa cloud, penyerang dapat mendaftarkan aplikasi OAuth palsu dengan izin yang lebih tinggi. Penyerang kemudian menambahkan konektor masuk berbahaya di dalam server, serta aturan transportasi, yang memberi mereka kemampuan untuk menyebarkan spam melalui domain yang ditargetkan sambil menghindari deteksi. Konektor masuk dan aturan transportasi juga dihapus di antara setiap kampanye untuk membantu penyerang terbang di bawah radar.
Untuk mengeksekusi serangan ini, pelaku ancaman dapat memanfaatkan akun berisiko tinggi yang tidak menggunakan autentikasi multifaktor. Spam ini adalah bagian dari skema yang digunakan untuk mengelabui korban agar mendaftar langganan jangka panjang.
Protokol Otentikasi OAuth Semakin Banyak Digunakan dalam Serangan
Dalam postingan blog tersebut, Microsoft juga menyatakan bahwa mereka telah "memantau meningkatnya popularitas penyalahgunaan aplikasi OAuth". OAuth adalah sebuah protokol yang digunakan untuk mengizinkan situs web atau aplikasi tanpa harus mengungkapkan kata sandi Anda. Namun protokol ini telah disalahgunakan oleh aktor ancaman berkali-kali untuk mencuri data dan dana.
Sebelumnya, pelaku jahat menggunakan aplikasi OAuth jahat dalam penipuan yang dikenal sebagai "phishing persetujuan". Ini termasuk menipu korban agar memberikan izin tertentu ke aplikasi OAuth yang berbahaya. Melalui ini, penyerang dapat mengakses layanan cloud korban. Dalam beberapa tahun terakhir, semakin banyak penjahat dunia maya yang menggunakan aplikasi OAuth jahat untuk menipu pengguna, terkadang untuk melakukan phishing, dan terkadang untuk tujuan lain, seperti backdoors dan pengalihan.
Pelaku Di Balik Serangan Ini Telah Menjalankan Kampanye Spam Sebelumnya
Microsoft telah menemukan bahwa aktor ancaman yang bertanggung jawab atas serangan Exchange telah menjalankan kampanye email spam selama beberapa waktu. Hal itu dinyatakan dalam hal yang sama Posting blog Keamanan Microsoft bahwa ada dua keunggulan yang terkait dengan penyerang ini. Pelaku ancaman "secara terprogram menghasilkan pesan yang berisi dua gambar hyperlink yang terlihat di email body", dan menggunakan "konten dinamis dan acak yang dimasukkan ke dalam badan HTML dari setiap pesan email untuk menghindari spam filter".
Padahal kampanye ini telah digunakan untuk mengakses informasi kartu kredit dan mengelabui pengguna agar mulai membayar langganan, Microsoft menyatakan bahwa sepertinya tidak ada ancaman keamanan lebih lanjut yang ditimbulkan oleh hal ini penyerang.
Aplikasi Sah Terus Dieksploitasi oleh Penyerang
Membuat versi aplikasi tepercaya yang palsu dan berbahaya bukanlah hal baru di ruang kejahatan dunia maya. Menggunakan nama yang sah untuk mengelabui korban telah menjadi metode penipuan favorit selama bertahun-tahun, dengan orang-orang di seluruh dunia tertipu setiap hari. Inilah sebabnya mengapa sangat penting bagi semua pengguna internet untuk menerapkan langkah-langkah keamanan yang memadai (termasuk autentikasi multi-faktor) pada akun dan perangkat mereka sehingga kemungkinan mengalami serangan siber diturunkan.
