Vào thứ Ba, Microsoft đã thông báo rằng họ đã thực hiện hành động để vô hiệu hóa các tài khoản Mạng đối tác Microsoft (MPN) giả mạo đã được sử dụng để xây dựng các ứng dụng OAuth có hại như một phần của chiến dịch lừa đảo nhằm xâm nhập vào môi trường đám mây của các doanh nghiệp và đánh cắp email.
Công ty CNTT tuyên bố rằng những kẻ lừa đảo “đã xây dựng các ứng dụng mà sau đó được triển khai trong một chiến dịch lừa đảo lấy sự đồng ý, nhằm lừa người dùng cấp quyền truy cập vào các ứng dụng giả mạo”. “Chiến dịch lừa đảo này chủ yếu nhắm mục tiêu đến các khách hàng ở Vương quốc Anh và Ireland.”
Lừa đảo lấy sự đồng ý là một loại tấn công kỹ thuật xã hội trong đó người dùng bị thuyết phục cấp quyền cho các ứng dụng đám mây độc hại, sau đó có thể được sử dụng làm vũ khí để truy cập dữ liệu người dùng an toàn và đám mây hợp pháp
.MỘT
Ngoài ra, Microsoft tuyên bố rằng họ đã thêm nhiều biện pháp bảo mật hơn để tăng cường quy trình xác minh được kết nối với Chương trình Đối tác Đám mây của Microsoft (trước đây là MPN) và giảm khả năng xảy ra hoạt động gian lận trong tương lai.
Thời gian xuất bản trùng với bài báo Proofpoint nêu rõ cách thức các tác nhân đe dọa có thể xâm phạm thành công cơ sở hạ tầng đám mây của công ty bằng cách lợi dụng vị thế của Microsoft với tư cách là “nhà xuất bản được chứng nhận”.
Chiến dịch này rất đáng chú ý vì nó có hiệu quả trong việc đánh lừa Microsoft để có được huy hiệu màu xanh đã được xác thực bằng cách bắt chước các công ty nổi tiếng.
Theo Proofpoint, các ứng dụng OAuth lừa đảo có “các quyền được ủy quyền sâu rộng” bao gồm đọc email, thay đổi cài đặt hộp thư cũng như truy cập các tệp và dữ liệu khác được liên kết với tài khoản của người dùng.
Nó cũng lưu ý rằng, trái ngược với một chiến dịch trước đó đã xâm phạm các nhà xuất bản Microsoft đã được xác minh để khai thác các khả năng của ứng dụng OAuth, các cuộc tấn công gần đây nhất được thực hiện để mạo danh các nhà xuất bản đáng tin cậy nhằm lấy được các ứng dụng độc hại đã được xác minh và phát tán.
Ba trong số các ứng dụng nói trên được đặt tên là “Đăng nhập một lần (SSO)”, với chương trình thứ ba cố gắng chuyển thành phần mềm hội nghị truyền hình bằng cách sử dụng thuật ngữ “Cuộc họp”.
Cả ba ứng dụng đều nhắm mục tiêu vào cùng một công ty, vốn được tạo bởi ba nhà xuất bản riêng biệt và sử dụng cùng một cơ sở hạ tầng dưới sự kiểm soát của kẻ tấn công.
Theo nhà cung cấp bảo mật doanh nghiệp, các tổ chức có thể bị ảnh hưởng bởi tài khoản người dùng bị tấn công, đánh cắp dữ liệu, vi phạm thương hiệu bởi các công ty mạo danh, gian lận thỏa hiệp email doanh nghiệp (BEC) và lạm dụng hộp thư.
Vào ngày 27 tháng 12 năm 2022, một tuần sau khi Proofpoint thông báo cho Microsoft về cuộc tấn công vào ngày 20 tháng 12 và các ứng dụng đã bị chặn, chiến dịch được báo cáo là đã kết thúc.
Các phát hiện cho thấy mức độ tinh vi được sử dụng để thực hiện cuộc tấn công, cũng như cách các biện pháp bảo mật của Microsoft bị phá vỡ và niềm tin của người dùng vào các nhà cung cấp doanh nghiệp và nhà cung cấp dịch vụ đã bị lạm dụng như thế nào.
Các ứng dụng OAuth sai đã được sử dụng để tấn công các dịch vụ đám mây của Microsoft. Proofpoint đã mô tả một hoạt động đe dọa bổ sung được gọi là OiVaVoii vào tháng 1 năm 2022 nhằm vào các giám đốc điều hành cấp cao nhằm giành quyền lực.
Sau đó, vào tháng 9 năm 2022, Microsoft tiết lộ rằng họ đã ngăn chặn một cuộc tấn công sử dụng các ứng dụng OAuth giả mạo được cài đặt trên các đối tượng thuê đám mây bị nhiễm độc nhằm chiếm quyền kiểm soát các máy chủ Exchange và gửi thư rác.
Tiếng Việt 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Українська 
فارسی 
Français du Canada