Във вторник Microsoft заяви, че е предприела стъпки за деактивиране на фалшиви акаунти в партньорската мрежа на Microsoft (MPN), които са били използвани за създаване на злонамерени OAuth приложения като част от фишинг кампания, предназначена да проникне в облачните среди на организации и да открадне имейл.
„Приложенията, създадени от тези измамници, след това бяха използвани в кампания за фишинг на съгласие, която подмами потребителите да предоставят разрешения на измамните приложения“, технологичният гигант казах. „Тази фишинг кампания е насочена към подмножество от клиенти, основно базирани в Обединеното кралство и Ирландия.“
Фишингът на съгласие е a атака чрез социално инженерство при което потребителите са подлъгани да предоставят разрешения на злонамерени облачни приложения, които след това могат да бъдат въоръжени, за да получат достъп до законни облачни услуги и чувствителни потребителски данни.
Производителят на Windows каза, че е разбрал за кампанията на 15 декември 2022 г. Оттогава е предупредил засегнатите клиенти по имейл, като компанията отбелязва, че участниците в заплахата са злоупотребили със съгласието, за да ексфилтрират пощенските кутии.
Освен това Microsoft заяви, че е въвела допълнителни мерки за сигурност, за да подобри процеса на проверка, свързан с Партньорска програма на Microsoft Cloud (по-рано MPN) и минимизиране на потенциала за измамно поведение в бъдеще.
Разкритието съвпада с доклад освободен от Proofpoint за това как участниците в заплахите са се възползвали успешно от “проверен издател” статус за проникване в облачните среди на организациите.
Това, което е забележително за кампанията, е, че имитирайки популярни марки, тя също успя да заблуди Microsoft, за да спечели синята значка за потвърждение. „Актьорът е използвал измамни партньорски акаунти, за да добави потвърден издател към регистрациите на приложения OAuth, които са създали в Azure AD“, обясниха от компанията.
Тези атаки, които бяха наблюдавани за първи път на 6 декември 2022 г., използваха подобни версии на легитимни приложения като Zoom, за да подмамят целите да разрешат достъп и да улеснят кражбата на данни. Целите включват финанси, маркетинг, мениджъри и висши ръководители.
Proofpoint отбеляза, че злонамерените OAuth приложения имат „широкообхватни делегирани разрешения“, като четене на имейли, коригиране на настройките на пощенската кутия и получаване на достъп до файлове и други данни, свързани с акаунта на потребителя.
Той също така каза, че за разлика от a предишна кампания които компрометират съществуващи издатели, проверени от Microsoft, за да се възползват от привилегиите на OAuth приложения, последните атаки са предназначени да се представят за легитимни издатели, за да станат проверени и да разпространяват измамните приложения.
Две от въпросните приложения бяха наречени „Single Sign-on (SSO)“, докато третото приложение беше наречено „Meeting“ в опит да се маскира като софтуер за видеоконференции. И трите приложения, създадени от три различни издателя, бяха насочени към едни и същи компании и използваха една и съща инфраструктура, контролирана от нападатели.
„Потенциалното въздействие върху организациите включва компрометирани потребителски акаунти, ексфилтриране на данни, злоупотреба с марка на организации, които се представят, измама с компрометиран бизнес имейл (BEC) и злоупотреба с пощенски кутии“, казаха от фирмата за корпоративна сигурност.
Твърди се, че кампанията е приключила на 27 декември 2022 г., седмица след като Proofpoint информира Microsoft за атаката на 20 декември и приложенията бяха деактивирани.
Констатациите демонстрират сложността, която е вложена в монтирането на атаката, да не говорим за заобикаляне на защитите за сигурност на Microsoft и злоупотреба с доверието, което потребителите оказват на корпоративни доставчици и доставчици на услуги.
Това не е първият път, когато фалшиви OAuth приложения се използват за насочване към облачните услуги на Microsoft. През януари 2022 г. Proofpoint описа подробно друга заплаха, дублирана OiVaVoii които са насочени към високопоставени ръководители, за да завземат контрола върху техните сметки.
След това през септември 2022 г. Microsoft разкри че демонтира атака, използваща фалшиви OAuth приложения, внедрени на компрометирани наематели на облак, за да превземат в крайна сметка сървърите на Exchange и да разпространяват спам.