У вівторок Microsoft оголосила, що вжила заходів для вимкнення фальшивих облікових записів Microsoft Partner Network (MPN), які використовувалися для створення шкідливих додатків OAuth у рамках фішингової кампанії, спрямованої на проникнення в хмарні середовища підприємств і викрадення електронної пошти.
ІТ-компанія стверджувала, що шахраї «створили програми, які згодом були розгорнуті в рамках фішингової кампанії з отримання згоди, яка змусила користувачів надати доступ до фальшивих програм». «Ця фішингова кампанія в основному була націлена на клієнтів у Великобританії та Ірландії».
Фішинг за згодою – це тип соціальної інженерної атаки, під час якої користувачів переконують надати дозвіл шкідливим хмарним програмам, які згодом можуть використовуватися як зброя для доступу до захищених даних користувача та законної хмари
.А
Крім того, Microsoft заявила, що додала додаткові заходи безпеки, щоб посилити процес перевірки, пов’язаний із Microsoft Cloud Partner Program (раніше MPN), і зменшити ймовірність шахрайства в майбутньому.
Публікація приурочена до публікації Proofpoint, в якій описується, як зловмисники змогли успішно скомпрометувати корпоративну хмарну інфраструктуру, скориставшись перевагами статусу Microsoft як «сертифікованого видавця».
Ця кампанія примітна тим, що вона була ефективною для обману Microsoft з метою отримання синього валідованого значка шляхом імітації відомих компаній.
За даними Proofpoint, підроблені програми OAuth мали «великі делеговані дозволи», які включали читання електронних листів, зміну налаштувань поштової скриньки та доступ до файлів та інших даних, пов’язаних з обліковим записом користувача.
Було також зазначено, що на відміну від попередньої кампанії, яка скомпрометувала вже перевірених видавців Microsoft для використання можливостей додатків OAuth, останні атаки здійснюються з метою видати себе за надійних видавців, щоб отримати перевірені та поширити шкідливі програми.
Три з вищезазначених додатків були названі «єдиним входом (SSO)», а третя програма намагалася визнати себе програмним забезпеченням для відеоконференцій, використовуючи термін «зустріч».
Ті самі компанії були націлені на всі три програми, які були створені трьома окремими видавцями та використовували ту саму інфраструктуру під контролем зловмисника.
Організації можуть постраждати від зламаних облікових записів користувачів, викрадання даних, порушення бренду компаніями-самозванцями, шахрайства з компрометацією бізнес-електронної пошти (BEC) і зловживання поштовими скриньками, згідно з постачальником корпоративної безпеки.
27 грудня 2022 року, через тиждень після того, як Proofpoint повідомила Microsoft про атаку 20 грудня та заблокувала програми, повідомляється, що кампанія завершилася.
Висновки показують рівень складності, використаний для здійснення нападу, а також те, як були обійдені заходи безпеки Microsoft і як зловживали довірою користувачів до корпоративних постачальників і постачальників послуг.
Фальшиві програми OAuth вже використовувалися для атаки на хмарні служби Microsoft. У січні 2022 року Proofpoint описав додаткову загрозливу діяльність, відому як OiVaVoii, спрямовану на вищих керівників у спробі отримати владу.
Потім, у вересні 2022 року, Microsoft розкрила, що зупинила атаку, яка використовувала фальшиві програми OAuth, встановлені на заражених клієнтах хмари, щоб зрештою захопити сервери Exchange і розсилати спам.
Українська 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
فارسی 
Français du Canada