微软
微软于本周警告,骇客正在滥用各种OAuth应用来展开经济动机的自动化攻击,包括滥用使用者的资源进行挖矿,执行商业电子邮件诈骗(BEC),或是寄送大量垃圾邮件等,且就算骇客失去了存取最初危害帐号的权限,也能透过OAuth来维持对各种应用的存取权。
OAuth是个开放身分验证标准,允许第三方服务在未取得使用者的凭证下,存取特定使用者资源以进行身分验证,例如允许A应用存取B应用的使用者资源以取得授权,进而登入服务、存取API或存取云端服务等。
然而,近来微软威胁情报中心(Threat Intelligence Center)发现,有骇客发动网钓及密码泼洒攻击,以危害那些未使用强大身分验证机制的使用者帐号,且这些帐号拥有建立或修改OAuth应用的权限。接著骇客滥用了这些具备高权限的OAuth应用来部署虚拟机器以开挖加密货币,或是在执行BEC攻击之后建立了长驻能力,亦用来展开大规模的垃圾邮件发送活动。
上述恶意行动来自不同的骇客组织,其中,Storm-1283使用一个遭到危害的使用者帐号来建立OAuth应用,并部署专门用来挖矿的虚拟机器。该名骇客透过VPN登入了盗来的使用者帐号后,于Microsoft Entra ID中建立了一个OAuth应用,由于该帐号具备Azure订阅的所有权角色,让骇客得以利用他人的资源部署虚拟机器来挖矿,所使用的运算资源费用介于1万到1.5万美元之间。
另有些骇客组织则是借由寄送网钓邮件以执行AiTM中间人攻击,来窃取会话令牌,再以该令牌来执行会话Cookie重放。之后有的骇客会在危害使用者帐号之后,进入其Outlook信箱以寻找BEC攻击机会;有的则会透过新增凭证至OAuth应用来维持长驻能力,接著存取Microsoft Graph API资源,来存取邮件或寄送大量垃圾邮件。
根据统计,在今年的7月至11月间,骇客使用了许多被危害的帐号,在不同的租户中建立了约1.7万个多租户OAuth应用。这些恶意OAuth应用总计发送了逾92.7万封的网钓邮件,这些恶意的OAuth应用皆已被微软移除。
还有一个被命名为Storm-1286的骇客组织专门滥用OAuth应用来发送垃圾邮件,Storm-1286主要透过密码泼洒攻击来取得使用者凭证,且大多数受害者并未启用双因素身分验证。
微软针对相关攻击提出了防范建议,包括启用双因素身分验证,启用条件式存取策略,启用持续存取评估,启用安全预设值,启用Microsoft Defender的自动攻击中断,审核程式与同意的许可权,以及保护Azure云端资源等。