Злоумышленники взламывают серверы Exchange с помощью вредоносных OAuth-приложений
Злоумышленники взламывают серверы Exchange с помощью вредоносных OAuth-приложений
Alexander Antipov
Атакам подвергаются исключительно те жертвы, у которых не установлена многофакторная аутентификация.
Команда Microsoft 365 Defender предупреждает о серии кибератак типа credential stuffing (подстановка учетных данных), нацеленных исключительно на те аккаунты с правами администратора, у которых не включена многофакторная аутентификация (MFA).
С помощью украденных аккаунтов злоумышленники получают первоначальный доступ к серверу, создают вредоносное OAuth-приложение, добавляющее новый вредоносный коннектор и набор правил для обхода систем обнаружения. После этого начинается рассылка фишинговых писем с серверов Exchange. Обычно такие почтовые кампании запускались с помощью инфраструктур Amazon SES и Mail Chimp, используемых для рассылки маркетинговых писем.
Обнаружив атаки, Microsoft удалила все вредоносные приложения и разослала предупреждения всем пострадавшим клиентам. По мнению экспертов, у хакеров было несколько целей:
С помощью украденных аккаунтов злоумышленники получают первоначальный доступ к серверу, создают вредоносное OAuth-приложение, добавляющее новый вредоносный коннектор и набор правил для обхода систем обнаружения. После этого начинается рассылка фишинговых писем с серверов Exchange. Обычно такие почтовые кампании запускались с помощью инфраструктур Amazon SES и Mail Chimp, используемых для рассылки маркетинговых писем.
Обнаружив атаки, Microsoft удалила все вредоносные приложения и разослала предупреждения всем пострадавшим клиентам. По мнению экспертов, у хакеров было несколько целей:
- Получить данные кредитных карт жертв;
- Оформить на них различные подписки;
- Получить деньги за доставку несуществующего приза.
Цифровые следы - ваша слабость, и хакеры это знают.