تعرض العديد من مستأجري السحابة الذين يستضيفون خوادم Microsoft Exchange للاختراق من قبل جهات ضارة باستخدام تطبيقات OAuth لنشر البريد العشوائي.

خوادم Microsoft Exchange المستخدمة لنشر البريد العشوائي

في 23 سبتمبر 2022 ، ورد في أ منشور مدونة أمان Microsoft أن المهاجم "فاعل التهديد شن هجمات حشو بيانات الاعتماد ضد الحسابات عالية الخطورة التي لم يكن لديها مصادقة متعددة العوامل (MFA) تمكين والاستفادة من حسابات المسؤول غير المضمونة للوصول الأولي ".

من خلال الوصول إلى مستأجر السحابة ، تمكن المهاجم من تسجيل تطبيق OAuth زائف بأذونات مرتفعة. ثم أضاف المهاجم موصلًا ضارًا واردًا داخل الخادم ، بالإضافة إلى قواعد النقل ، والتي منحتهم القدرة على نشر البريد العشوائي عبر المجالات المستهدفة أثناء التهرب من الاكتشاف. تم أيضًا حذف الموصل الداخلي وقواعد النقل بين كل حملة لمساعدة المهاجم على التحليق تحت الرادار.

لتنفيذ هذا الهجوم ، تمكن ممثل التهديد من الاستفادة من الحسابات عالية الخطورة التي لا تستخدم المصادقة متعددة العوامل. كان هذا البريد العشوائي جزءًا من مخطط يستخدم لخداع الضحايا للاشتراك في اشتراكات طويلة الأجل.

instagram viewer

يتزايد استخدام بروتوكول مصادقة OAuth في الهجمات

ائتمان الشعار: كريس ميسينا /ويكيميديا ​​كومنز

في منشور المدونة المذكور أعلاه ، صرحت Microsoft أيضًا بأنها "تراقب الانتشار المتزايد لإساءة استخدام تطبيق OAuth". OAuth هو بروتوكول يتم استخدامه للموافقة على مواقع الويب أو التطبيقات دون الحاجة إلى الكشف عن كلمة المرور الخاصة بك. لكن تم إساءة استخدام هذا البروتوكول من قبل جهة تهديدات عدة مرات لسرقة البيانات والأموال.

في السابق ، استخدمت الجهات الخبيثة تطبيق OAuth ضار في عملية احتيال تُعرف باسم "تصيُّد الموافقة". تضمن ذلك خداع الضحايا لمنح أذونات معينة لتطبيقات OAuth الضارة. من خلال هذا ، يمكن للمهاجم الوصول إلى الخدمات السحابية للضحايا. في السنوات الأخيرة ، استخدم المزيد والمزيد من مجرمي الإنترنت تطبيقات OAuth الضارة للاحتيال المستخدمين ، أحيانًا لإجراء تصيد احتيالي ، وأحيانًا لأغراض أخرى ، مثل الأبواب الخلفية و عمليات إعادة التوجيه.

الفاعل الذي يقف وراء هذا الهجوم قد أجرى حملات سابقة للرسائل غير المرغوب فيها

اكتشفت Microsoft أن الفاعل المسؤول عن هجوم Exchange كان يدير حملات بريد إلكتروني عشوائي لبعض الوقت. جاء في نفسه منشور مدونة أمان Microsoft أن هناك سمتان مميزتان مرتبطتان بهذا المهاجم. يقوم ممثل التهديد "بإنشاء رسائل برمجية تحتوي على صورتين مرتبطتين تشعبيًا في البريد الإلكتروني body "، ويستخدم" محتوى ديناميكيًا وعشوائيًا يتم حقنه داخل نص HTML لكل رسالة بريد لتجنب البريد العشوائي المرشحات ".

على الرغم من استخدام هذه الحملات للوصول إلى معلومات بطاقة الائتمان وخداع المستخدمين لبدء الدفع بالنسبة للاشتراكات ، صرحت Microsoft أنه لا يبدو أن هناك أي تهديدات أمنية أخرى يفرضها هذا تحديدًا مهاجم.

يستمر استغلال التطبيقات المشروعة من قبل المهاجمين

لا يعد إنشاء إصدارات مزيفة وخبيثة من التطبيقات الموثوقة شيئًا جديدًا في مجال الجرائم الإلكترونية. كان استخدام اسم شرعي لخداع الضحايا طريقة احتيال مفضلة لسنوات عديدة ، حيث يقع الناس في جميع أنحاء العالم في مثل هذه الاحتيالات بشكل يومي. هذا هو السبب في أنه من الأهمية بمكان لجميع مستخدمي الإنترنت استخدام تدابير أمنية مناسبة (بما في ذلك مصادقة متعددة العوامل) على حساباتهم وأجهزتهم بحيث تكون فرص التعرض لهجوم إلكتروني يتم تخفيضها.