روز سهشنبه، مایکروسافت اعلام کرد که برای غیرفعال کردن حسابهای جعلی شبکه شریک مایکروسافت (MPN) که برای ساختن برنامههای مضر OAuth به عنوان بخشی از یک کمپین فیشینگ با هدف نفوذ به محیطهای ابری شرکتها و سرقت ایمیل استفاده شدهاند، اقدام کرده است.
این شرکت فناوری اطلاعات ادعا کرد که عوامل کلاهبردار «برنامههایی ساختهاند که متعاقباً در یک کمپین فیشینگ رضایت به کار گرفته شدند، که کاربران را فریب داد تا اجازه دسترسی به برنامههای ساختگی را بدهند». "این کمپین فیشینگ در درجه اول مشتریان را در بریتانیا و ایرلند هدف قرار داده است."
فیشینگ رضایت نوعی حمله مهندسی اجتماعی است که در آن کاربران متقاعد میشوند تا به برنامههای ابری مخرب مجوز بدهند، که متعاقباً میتواند به عنوان سلاحی برای دسترسی به دادههای کاربر ایمن و ابر قانونی استفاده شود.
.آ
علاوه بر این، مایکروسافت اعلام کرد که اقدامات امنیتی بیشتری را برای تقویت فرآیند تأیید مرتبط با Microsoft Cloud Partner Program (MPN سابق) و کاهش احتمال فعالیت های کلاهبرداری در آینده اضافه کرده است.
این نشریه همزمان با مقاله Proofpoint است که نشان میدهد چگونه عوامل تهدید توانستند زیرساختهای ابری شرکتی را با استفاده از موقعیت مایکروسافت بهعنوان یک «ناشر معتبر» به خطر بیاندازند.
این کمپین از این جهت قابل توجه است که در فریب مایکروسافت برای به دست آوردن نشان معتبر آبی با تقلید از شرکت های معروف موثر بود.
طبق گفته Proofpoint، برنامههای OAuth سرکش دارای «مجوزهای تفویض شده گسترده» بودند که شامل خواندن ایمیلها، تغییر تنظیمات صندوق پستی و دسترسی به فایلها و سایر دادههای مرتبط با حساب کاربر میشد.
همچنین اشاره کرد که برخلاف کمپین قبلی که ناشران قبلاً تأیید شده مایکروسافت را برای سوء استفاده از قابلیتهای برنامه OAuth به خطر انداخت، جدیدترین حملات برای جعل هویت ناشران قابل اعتماد به منظور به دست آوردن تأیید شده و انتشار برنامههای مخرب انجام میشود.
سه مورد از برنامههای فوقالذکر «Single Sign-on (SSO)» نامگذاری شدند و برنامه سوم سعی داشت با استفاده از عبارت «Meeting» به عنوان نرمافزار ویدیو کنفرانس منتقل شود.
همان شرکت ها مورد هدف هر سه اپلیکیشن قرار گرفتند که توسط سه ناشر مجزا ساخته شده بودند و از زیرساخت های مشابه تحت کنترل مهاجم استفاده می کردند.
به گفته ارائهدهنده امنیت سازمانی، سازمانها ممکن است تحت تأثیر حسابهای کاربری هکشده، استخراج دادهها، نقض نام تجاری توسط شرکتهای فریبکار، تقلب در معرض خطر ایمیل تجاری (BEC) و سوء استفاده از صندوق پستی قرار بگیرند.
در 27 دسامبر 2022، یک هفته پس از اینکه Proofpoint مایکروسافت را از حمله در 20 دسامبر مطلع کرد و برنامه ها مسدود شدند، گزارش شده است که کمپین به پایان رسیده است.
این یافتهها سطح پیچیدگی مورد استفاده برای انجام حمله و همچنین نحوه دور زدن اقدامات امنیتی مایکروسافت و نحوه سوء استفاده از ایمان کاربران به فروشندگان سازمانی و ارائهدهندگان خدمات را نشان میدهد.
برنامههای OAuth نادرست قبلاً برای حمله به سرویسهای ابری مایکروسافت استفاده شدهاند. Proofpoint یک فعالیت تهدید اضافی به نام OiVaVoii را در ژانویه 2022 توصیف کرد که مدیران ارشد را در تلاش برای کسب قدرت هدف قرار داد.
سپس، در سپتامبر 2022، مایکروسافت فاش کرد که حمله ای را متوقف کرده است که از برنامه های OAuth سرکش نصب شده روی مستاجران ابری آلوده استفاده می کرد تا در نهایت سرورهای Exchange و ارسال هرزنامه را در اختیار بگیرد.