Microsoft предупредила, что злоумышленники используют приложения OAuth в качестве инструмента автоматизации для развертывания виртуальных машин (VM) для майнинга криптовалют и запуска фишинговых атак.
"Субъекты угроз компрометируют учетные записи пользователей для создания, изменения и предоставления высоких привилегий приложениям OAuth, которыми они могут злоупотреблять для сокрытия вредоносной активности", - говорится в анализе Microsoft Threat Intelligence Team.
"Неправильное использование OAuth также позволяет субъектам угрозы сохранять доступ к приложениям, даже если они теряют доступ к изначально скомпрометированной учетной записи".
OAuth, сокращение от Open Authorization, - это платформа авторизации и делегирования полномочий (в отличие от аутентификации), которая предоставляет приложениям возможность безопасного доступа к информации с других веб-сайтов без передачи паролей.
В ходе атак, подробно описанных Microsoft, были замечены злоумышленники, запускающие фишинговые атаки или атаки с использованием паролей против плохо защищенных учетных записей, имеющих разрешения на создание или модификацию приложений OAuth.
Одним из таких злоумышленников является Storm-1283, который использовал скомпрометированную учетную запись пользователя для создания приложения OAuth и развертывания виртуальных машин для майнинга криптовалют. Более того, злоумышленники модифицировали существующие приложения OAuth, к которым у учетной записи был доступ, добавив дополнительный набор учетных данных для достижения тех же целей.
В другом случае неизвестный субъект скомпрометировал учетные записи пользователей и создал приложения OAuth для обеспечения сохраняемости и запуска фишинговых атак по электронной почте, в которых используется фишинговый набор "злоумышленник посередине" (AiTM) для кражи сеансовых файлов cookie у своих целей и обхода мер аутентификации.
"В некоторых случаях после действия по воспроизведению украденных сеансовых файлов cookie злоумышленник использовал скомпрометированную учетную запись пользователя для проведения разведки о финансовом мошенничестве BEC путем открытия вложений электронной почты в веб-приложении Microsoft Outlook (OWA), которые содержат определенные ключевые слова, такие как "платеж" и "счет", - заявили в Microsoft.
Другие сценарии, обнаруженные технологическим гигантом после кражи сеансовых файлов cookie, включают создание приложений OAuth для распространения фишинговых электронных писем и крупномасштабной рассылки спама. Microsoft отслеживает последний как Storm-1286.
Для снижения рисков, связанных с подобными атаками, организациям рекомендуется применять многофакторную аутентификацию (MFA), включать политики условного доступа и регулярно проверять приложения и согласованные разрешения.
