Microsoft warnte am Donnerstag vor einem Angriff auf Verbraucher, der bösartige OAuth-Anwendungen auf kompromittierten Cloud-Mietern nutzte, um letztlich die Kontrolle über Exchange-Server zu übernehmen und Spam zu verbreiten.
Der Bedrohungsakteur startete „Credential Stuffing“-Angriffe auf Hochrisikokonten, bei denen keine Multi-Faktor-Authentifizierung (MFA) aktiviert war, und nutzte die ungesicherten Administratorkonten, um sich einen ersten Zugang zu verschaffen“, so das Microsoft 365 Defender Research Team.
Der unbefugte Zugriff auf den Cloud-Tenant ermöglichte es dem Angreifer, eine bösartige OAuth-Anwendung zu registrieren und ihr erweiterte Berechtigungen zu gewähren sowie schließlich die Exchange Server-Einstellungen so zu ändern, dass eingehende E-Mails von bestimmten IP-Adressen über den kompromittierten E-Mail-Server geleitet werden konnten.
„Diese Änderungen an den Einstellungen des Exchange-Servers ermöglichten es dem Angreifer, sein Hauptziel zu erreichen: den Versand von Spam-E-Mails“, so Microsoft. „Die Spam-E-Mails wurden als Teil eines betrügerischen Gewinnspiels verschickt, das die Empfänger dazu bringen sollte, sich für wiederkehrende kostenpflichtige Abonnements anzumelden.
Die E-Mail-Nachrichten forderten die Empfänger auf, auf einen Link zu klicken, um einen Preis zu erhalten. Dadurch wurden die Opfer auf eine Landing Page umgeleitet, die sie aufforderte, ihre Kreditkartendaten gegen eine geringe Versandgebühr einzugeben, um den Preis abzuholen.
Der Bedrohungsakteur unternahm außerdem eine Reihe von Schritten, um sich der Entdeckung zu entziehen und seine Operationen über längere Zeiträume fortzusetzen. So verwendete er die bösartige OAuth-Anwendung noch Wochen oder sogar Monate nach ihrer Bereitstellung und löschte die am Exchange Server vorgenommenen Änderungen nach jeder Spam-Kampagne.
Microsofts Abteilung für Bedrohungsanalysen erklärte, dass der Angreifer seit mehreren Jahren aktiv Spam-E-Mail-Kampagnen durchführt und in der Regel große Mengen an Spam-E-Mails in kurzen Abständen über eine Vielzahl von Methoden versendet.
Obwohl das Hauptziel des Angriffs darin zu bestehen scheint, ahnungslose Benutzer dazu zu verleiten, sich für unerwünschte Abonnementdienste anzumelden, hätte er eine weitaus ernstere Bedrohung darstellen können, wenn die gleiche Technik dazu verwendet worden wäre, Anmeldedaten zu stehlen oder Malware zu verbreiten.
„Während die nachfolgende Spam-Kampagne auf E-Mail-Konten von Verbrauchern abzielt, zielt dieser Angriff auf Unternehmensmieter, die als Infrastruktur für diese Kampagne genutzt werden“, so Microsoft. „Dieser Angriff deckt somit Sicherheitsschwächen auf, die von anderen Bedrohungsakteuren für Angriffe genutzt werden könnten, die sich direkt auf die betroffenen Unternehmen auswirken könnten.“
Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com