Microsoft, suçluların OAuth uygulamalarını dolandırıcılık saldırıları başlatmak için kötüye kullandığını söylüyor

Microsoft Tehdit İstihbaratı Açıkladı: OAuth Uygulamalarını kim Nasıl Kötüye Kullanıyor?

Microsoft, Tehdit İstihbaratı ekibinin OAuth uygulamalarını otomasyon aracı olarak kullanan mali amaçlı saldırılar ve dolandırıcılıklar gözlemlediğini söylüyor.

Yeni bir gönderide ekip, tehdit aktörlerinin kötü niyetli etkinlikleri gizlemek amacıyla OAuth uygulamaları oluşturmak, değiştirmek ve bunlara yüksek ayrıcalıklar vermek için kullanıcı hesaplarını nasıl tehlikeye attığını açıkladı.

Neyse ki, saldırıların ölçeği hesap koruması yoluyla ölçüldü – saldırganlar güçlü kimlik doğrulama mekanizmaları olmayan kullanıcı hesaplarını hedef alıyor – bu da en azından kullanıcılara ve yöneticilere dolandırıcılıklara karşı daha fazla koruma uygulamak için biraz umut veriyor.

Hesabınız güvenli bir şekilde korunuyor mu?

Microsoft, tehdit aktörlerinin saldırılarını çoğunlukla kimlik avı veya parola püskürtme yöntemleriyle başlattığını söyledi. Daha sonra çeşitli nedenlerle yüksek ayrıcalık izinlerine sahip OAuth uygulamalarını kötüye kullanmaya devam ettiler.

Storm-1283 olarak izlenen bir grup (Storm öneki, bunun uzun süredir devam eden bir tehdit aktörü yerine şu anda geliştirilmekte olan düşük ölçekli bir grup olduğunu göstermektedir) bir VPN aracılığıyla oturum açarken ve Microsoft Entra ID’de yeni bir tek kiracılı OAuth uygulaması oluştururken yakalandı. Grup daha sonra kripto madenciliği için sanal makineler dağıttı.

Redmond’a göre Storm-1283 tarafından bu şekilde hedef alınan kuruluşlar 10.000 ila 1,5 milyon dolar arasında değişen işlem ücretleri elde etti.

Microsoft’un araştırmacıları ayrıca iş e-postalarının ele geçirilmesi ve kimlik avı saldırılarını da gözlemleyerek dikkat edilmesi gereken bazı önemli konu satırlarının altını çizdi:

 

• <Kullanıcı adı> “<Kullanıcı adı> sözleşmelerini” sizinle paylaştı.
•  <Kullanıcı adı> “<Kullanıcı etki alanı>”nı sizinle paylaştı.
• OneDrive: Bugün yeni bir belge aldınız
• <Kullanıcı adı> Posta kutusu parolasının geçerlilik süresi
• Posta kutusu parolasının geçerlilik süresi
• <Kullanıcı adı> Şifrelenmiş mesajınız var
• Şifrelenmiş mesaj alındı.Redmond’un uzmanları ayrıca çok faktörlü kimlik doğrulama (MFA) gibi güvenlik uygulamalarının hayata geçirilmesi, koşullu erişim politikalarının etkinleştirilmesi ve sürekli erişim değerlendirmesinin (CAE) etkinleştirilmesi de dahil olmak üzere kurumların kurban olma olasılığını azaltmalarına yardımcı olacak planlar hazırladı.BT çalışanları, hafifletme adımlarının tam listesi ve saldırıların ayrıntılı bir analizi için Microsoft’un blog gönderisine başvurabilirler.