Peretas atau hacker menggunakan aplikasi OAuth jahat untuk menguasai server Microsoft Exchange dan menyebarkan spam.

Beberapa penyewa cloud yang menghosting server Microsoft Exchange telah disusupi oleh pelaku jahat yang menggunakan aplikasi OAuth untuk menyebarkan spam.

Server Microsoft Exchange Digunakan untuk Menyebarkan Spam

Pada 23 September 2022, dinyatakan dalam posting blog Keamanan Microsoft bahwa penyerang “pelaku ancaman meluncurkan serangan isian kredensial terhadap akun berisiko tinggi yang tidak mengaktifkan otentikasi multi-faktor (MFA) dan memanfaatkan akun administrator yang tidak aman untuk mendapatkan akses awal”.

Dengan mengakses penyewa cloud, penyerang dapat mendaftarkan aplikasi OAuth palsu dengan izin yang lebih tinggi. Penyerang kemudian menambahkan konektor masuk berbahaya di dalam server, serta aturan transportasi, yang memberi mereka kemampuan untuk menyebarkan spam melalui domain yang ditargetkan sambil menghindari deteksi. Konektor masuk dan aturan transportasi juga dihapus di antara setiap kampanye untuk membantu penyerang terbang di bawah radar.

Untuk melakukan serangan ini, pelaku ancaman dapat memanfaatkan akun berisiko tinggi yang tidak menggunakan otentikasi multi-faktor. Spam ini adalah bagian dari skema yang digunakan untuk mengelabui korban agar mendaftar untuk langganan jangka panjang.

Protokol Otentikasi OAuth Semakin Digunakan dalam Serangan

Dalam posting blog yang disebutkan di atas, Microsoft juga menyatakan bahwa mereka telah “memantau meningkatnya popularitas penyalahgunaan aplikasi OAuth”. OAuth adalah protokol yang digunakan untuk menyetujui situs web atau aplikasi tanpa harus mengungkapkan kata sandi Anda. Namun protokol ini telah disalahgunakan oleh aktor ancaman beberapa kali untuk mencuri data dan dana.

Sebelumnya, aktor jahat menggunakan aplikasi OAuth berbahaya dalam penipuan yang dikenal sebagai “phishing persetujuan”. Ini melibatkan menipu korban agar memberikan izin tertentu ke aplikasi OAuth yang berbahaya. Melalui ini, penyerang dapat mengakses layanan cloud korban. Dalam beberapa tahun terakhir, semakin banyak penjahat dunia maya yang menggunakan aplikasi OAuth berbahaya untuk menipu pengguna, terkadang untuk melakukan phishing, dan terkadang untuk tujuan lain, seperti pintu belakang dan pengalihan.

Aktor Dibalik Serangan Ini Telah Menjalankan Kampanye Spam Sebelumnya

Microsoft telah menemukan bahwa aktor ancaman yang bertanggung jawab atas serangan Exchange telah menjalankan kampanye email spam selama beberapa waktu. Dinyatakan dalam posting blog Microsoft Security yang sama bahwa ada dua keunggulan yang terkait dengan penyerang ini. Pelaku ancaman “secara terprogram menghasilkan pesan yang berisi dua gambar hyperlink yang terlihat di badan email”, dan menggunakan “konten dinamis dan acak yang disuntikkan ke dalam badan HTML dari setiap pesan email untuk menghindari filter spam”.