微软周二表示,已采取措施禁用用于创建恶意OAuth应用程序的虚假微软合作伙伴网络(MPN)帐户,作为旨在破坏组织云环境和窃取电子邮件的网络钓鱼活动的一部分。“这些欺诈行为者创建的应用程序随后被用于同意网络钓鱼活动,诱骗用户授予欺诈性应用程序的权限,”这家科技巨头说。“这次网络钓鱼活动针对的是主要位于英国和爱尔兰的客户子集。
同意网络钓鱼是一种社会工程攻击,其中用户被诱骗向恶意云应用程序授予权限,然后可以将其武器化以访问合法的云服务和敏感用户数据。
这家 Windows 制造商表示,它于 2022年 12月 15日意识到了该活动。此后,它通过电子邮件提醒受影响的客户,该公司指出,威胁行为者滥用了泄露邮箱的同意。
最重要的是,微软表示,它实施了额外的安全措施,以改善与微软云合作伙伴计划(前身为MPN)相关的审查流程,并最大限度地减少未来欺诈行为的可能性。该披露与Proofpoint发布的一份报告相吻合,该报告涉及威胁行为者如何成功利用微软的“经过验证的发布者”状态渗透到组织的云环境中。
该活动值得注意的是,通过模仿流行品牌,它也成功地愚弄了微软,以获得蓝色验证徽章。“该演员使用欺诈性合作伙伴帐户将经过验证的发布者添加到他们在 Azure AD 中创建的 OAuth 应用注册,”该公司解释说。
这些攻击于 2022年 12月 6日首次观察到,它们使用了类似版本的合法应用程序(如 Zoom)来欺骗目标授权访问并促进数据盗窃。目标包括财务、营销、经理和高级管理人员。
Proofpoint指出,恶意OAuth应用程序具有“深远的委托权限”,例如阅读电子邮件,调整邮箱设置以及访问与用户帐户相关的文件和其他数据。
它还表示,与之前破坏现有微软验证发布商以利用OAuth应用程序特权的活动不同,最新的攻击旨在冒充合法发布者进行验证并分发流氓应用程序。其中两个应用程序被命名为“单点登录(SSO)”,而第三个应用程序被称为“会议”,试图伪装成视频会议软件。这三个应用程序均由三个不同的发行商创建,针对相同的公司,并利用相同的攻击者控制的基础架构。
“对组织的潜在影响包括用户帐户受损,数据泄露,假冒组织的品牌滥用,商业电子邮件入侵(BEC)欺诈和邮箱滥用,”企业安全公司表示。
据说该活动已于2022 年 12 月 27 日结束,一周前 Proofpoint 于 12 月 20 日通知微软攻击并且应用程序被禁用。调查结果证明了发起攻击的复杂性,更不用说绕过微软的安全保护并滥用用户对企业供应商和服务提供商的信任。
这不是第一次使用虚假的OAuth应用程序来针对微软的云服务。2022 年 1月,Proofpoint 详细介绍了另一项名为 OiVaVoii 的威胁活动,该活动针对高级管理人员夺取其账户控制权。
然后在 2022 年 9月,微软透露它拆除了一次攻击,该攻击利用部署在受感染的云租户上的流氓 OAuth 应用程序最终接管 Exchange 服务器并分发垃圾邮件。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...