微软表示,攻击者在撞库攻击中获得了对托管 Microsoft Exchange 服务器的云租户的访问权限,其最终目标是部署恶意 OAuth 应用程序和发送网络钓鱼电子邮件。
“调查显示,攻击者对未启用多因素身份验证 (MFA) 的高风险帐户发起撞库攻击,并利用不安全的管理员帐户获得初始访问权限,”Microsoft 365 Defender 研究团队透露。
“对云租户的未经授权的访问使攻击者能够创建一个恶意 OAuth 应用程序,该应用程序在电子邮件服务器中添加了一个恶意的入站连接器。”
然后,攻击者使用此入站连接器和传输规则,旨在帮助规避检测,通过受感染的 Exchange 服务器传递网络钓鱼电子邮件。
作为额外的防御规避措施,威胁参与者删除了恶意入站连接器和垃圾邮件活动之间的所有传输规则。
相比之下,OAuth 应用程序在攻击之间保持休眠数月,直到它再次用于在下一波攻击之前添加新的连接器和规则。
这些电子邮件活动由通常用于批量发送营销电子邮件的 Amazon SES 和 Mail Chimp 电子邮件基础设施触发。
攻击者在整个攻击过程中使用单租户应用程序网络作为身份平台。
检测到攻击后,Redmond 关闭了与该网络链接的所有应用程序,向所有受影响的客户发送警报和建议补救措施。
微软表示,这个威胁参与者与多年来推动网络钓鱼电子邮件的活动有关。
还看到攻击者在短时间内通过其他方式发送大量垃圾邮件,“例如从流氓 IP 地址连接到邮件服务器或直接从合法的基于云的批量电子邮件发送基础设施发送”。
微软进一步透露:“该演员的动机是传播欺骗性的抽奖垃圾邮件,旨在诱骗收件人提供信用卡详细信息并以赢得有价值奖品为幌子注册定期订阅 。 ”
“虽然该计划可能导致对目标收取不必要的费用,但没有证据表明存在明显的安全威胁,例如凭据网络钓鱼或恶意软件分发。”
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Microsoft Exchange服务器通过OAuth应用程序进行网络钓鱼攻击
