Microsoftは、攻撃者が「OAuth」アプリを巧みに悪用して、被害者の「Exchange」サーバーを再設定し、スパムを送信している事例を明らかにした。
提供: Getty Images/iStockphoto
Microsoftによると、この複雑な攻撃の狙いは、偽の懸賞を宣伝する大量のスパムを、実際の送信元(攻撃者自身のIPアドレス、またはサードパーティーのメールマーケティングサービス)ではなく、侵害されたExchangeドメインから送信されたように偽装することにあるという。
Microsoft 365 Defender Research Teamは、「このスキームによって、標的が不当に料金を請求された可能性はあるが、認証情報のフィッシングやマルウェアの配布など、明らかなセキュリティ上の脅威を示す証拠はなかった」と述べている。
Exchangeサーバーにスパムを送信させるために、攻撃者はまず十分に保護されていない標的のクラウドテナントを侵害し、特権ユーザーアカウントへのアクセスを取得してから、権限を持つ、悪意のあるOAuthアプリケーションを作成した。OAuthアプリを使用すると、ほかのアプリへの制限付きアクセスを許可できるが、攻撃者はこの機能を別の方法で悪用した。
標的となった管理者アカウントはどれも多要素認証(MFA)が有効になっていなかった。MFAを使用していれば、攻撃を阻止できた可能性がある。
内部に侵入した攻撃者は、「Azure Active Directory」(AAD)を使用してOAuthアプリを登録し、「Exchange Online PowerShell」モジュールのアプリ専用認証のアクセス許可を追加して、そのアクセス許可に管理者の同意を与えた後、新しく登録したアプリにグローバル管理者とExchange管理者の役割を割り当てた。
Microsoftは、「脅威アクターは、自分自身の認証情報をOAuthアプリケーションに追加することで、最初に侵害されたグローバル管理者がパスワードを変更した場合でも、アプリケーションにアクセスできるようにした」と述べている。
「これらの行為により、攻撃者は高度な権限を持つアプリケーションを乗っ取ることに成功した」
これらの下準備を終えた後、攻撃者はOAuthアプリを使用してExchange Online PowerShellモジュールに接続し、Exchangeの設定を変更して、サーバーが攻撃者のインフラストラクチャーに関連するIPアドレスからスパムをルーティングするようにした。
提供:Microsoft
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
