Tehdit analistleri, şirket yöneticilerini ve genel yöneticileri kötü niyetli OAUTH uygulamaları ve Hijacked Office 365 hesaplarından gönderilen özel kimlik avı lureslarını hedef alan yeni bir kampanya gözlemlediler.
Prova Noktası'ndan gelen bir rapora göre, kampanya hala devam ediyor, ancak Microsoft etkinliği izliyor ve uygulamaların çoğunu engelledi.
Yürütme hesabı devralmalarının etkisi, fidye yazılımı ve işletme e-postası ödün vermek için ağdaki lateral hareketten ve içten kimlik avındanığı arasında değişmektedir.
OAUTH, belirteç tabanlı kimlik doğrulama ve yetkilendirme için bir standarttır ve hesap şifrelerini girme ihtiyacını giderir.
OAUTH'yi kullanan uygulamalar, dosya okuma ve yazma izinleri, takvime ve e-postaya erişim ve e-posta gönderme yetkisi gibi özel izinler gerektirir.
Bu sistemin amacı, güvenilir bir şekilde maruz kalmayı azaltarak güvenilir ortamlarda yüksek bir güvenlik seviyesini korurken kullanılabilirlik ve rahatlık sunmaktır.
OAUTH belirteçleri ile bulut tabanlı üçüncü taraf uygulamaları, işletmelere kullanıcıların şifrelerini almadan üretkenlik özelliklerine sahip olmak için gereken veri noktalarına erişebilir.
Oivavoii kampanyasının arkasındaki aktörler, çoğu şu anda engellendi: 'Yükseltme', 'belge', 'paylaşılan' ve 'userinfo'.
Bu uygulamaların üçü, doğrulanmış yayıncılar tarafından oluşturuldu, bu da tehdit aktörlerinin meşru bir ofis kiracının hesabını tehlikeye attığını gösteriyor.
Tehdit aktörleri daha sonra, hedeflenen organizasyonlarda yüksek rütbeli yöneticilere yetkilendirme taleplerini göndermek için uygulamaları kullandı. Çoğu durumda, alıcılar isteklerleri kabul etti, bunlarda şüpheli hiçbir şey görmedi.
Mağdurlar kabul düğmesine bastığında, tehdit aktörleri, aynı organizasyondaki diğer çalışanlara hesaplarından e-posta göndermek için belirteçleri kullanır.
İptal'i tıklarlarsa, Cevap URL'sinde bir manipülasyon, onları izin talebini kabul edene kadar aynı sayfada kilitler, bunları aynı sayfada kilitler.
Prova noktası, hedefin hesap kimlik bilgilerini de ödün verebilecek orta proxy saldırılarının olasılığını da değerlendirir.
Bu kampanyadaki aktörler tarafından kullanılan kötü niyetli OAUTH uygulamalarının dördü engellendi, ancak yenileri aynı şekilde yaratılıyor ve kullanılıyor.
Ayrıca, zaten tehlikeye giren ve hesaplarına erişim sağlayan yöneticiler, etkilenen organizasyonlar için yüksek riskli noktaları tutar.
Potansiyel olarak tehlikeye giren firmaların izinleri iptal etmesi, uygulamaları silinmesi, aktörler tarafından eklenen herhangi bir kötü amaçlı posta kutusu kurallarını kaldırması ve düşen herhangi bir dosyayı taraması gerekir.
Son olarak, tüm çalışanlar, iç iletişim, özellikle de standart iş uygulamalarıyla uyumlu olan yüksek rütbeli yöneticilerden gelen mesajlardan şüphelenmek için eğitilmelidir.
Microsoft, çok aşamalı kimlik avı kampanyasının uyarılması Azure reklamını kaldırıyor
İkna edici Microsoft Phishing kullanır Sahte Office 365 Spam Uyarıları
Office 365 kimlik avı saldırıları tarafından hedeflenen ABD üniversiteleri
Finlandiya Facebook hesaplarının haberci kimlik avı ile saldırıya uğradı
Lazarus Hackers Malware'i dağıtmak için Windows Update'i kullanıyor
Kaynak: Bleeping Computer