Peretas Mengambil Alih Server Microsoft Change dengan Aplikasi OAuth

Penyerang jahat menggunakan aplikasi OAuth jahat untuk menguasai server Microsoft Change dan menyebarkan spam.


Beberapa penyewa cloud yang menghosting server Microsoft Change telah disusupi oleh pelaku jahat yang menggunakan aplikasi OAuth untuk menyebarkan spam.


Server Microsoft Change Digunakan untuk Menyebarkan Spam

Pada 23 September 2022, dinyatakan dalam posting weblog Keamanan Microsoft bahwa penyerang “pelaku ancaman meluncurkan serangan isian kredensial terhadap akun berisiko tinggi yang tidak mengaktifkan otentikasi multi-faktor (MFA) dan memanfaatkan akun administrator yang tidak aman untuk mendapatkan akses awal”.

Dengan mengakses penyewa cloud, penyerang dapat mendaftarkan aplikasi OAuth palsu dengan izin yang lebih tinggi. Penyerang kemudian menambahkan konektor masuk berbahaya di dalam server, serta aturan transportasi, yang memberi mereka kemampuan untuk menyebarkan spam melalui area yang ditargetkan sambil menghindari deteksi. Konektor masuk dan aturan transportasi juga dihapus di antara setiap kampanye untuk membantu penyerang terbang di bawah radar.

Untuk melakukan serangan ini, pelaku ancaman dapat memanfaatkan akun berisiko tinggi yang tidak menggunakan otentikasi multi-faktor. Spam ini adalah bagian dari skema yang digunakan untuk mengelabui korban agar mendaftar untuk langganan jangka panjang.

Protokol Otentikasi OAuth Semakin Digunakan dalam Serangan

Dalam posting weblog yang disebutkan di atas, Microsoft juga menyatakan bahwa mereka telah “memantau meningkatnya popularitas penyalahgunaan aplikasi OAuth”. OAuth adalah protokol yang digunakan untuk menyetujui situs net atau aplikasi tanpa harus mengungkapkan kata sandi Anda. Namun protokol ini telah disalahgunakan oleh aktor ancaman beberapa kali untuk mencuri information dan dana.

See also  4 Generator Komik On-line Terbaik untuk Membuat Komik dengan Mudah

Sebelumnya, aktor jahat menggunakan aplikasi OAuth berbahaya dalam penipuan yang dikenal sebagai “phishing persetujuan”. Ini melibatkan menipu korban agar memberikan izin tertentu ke aplikasi OAuth yang berbahaya. Melalui ini, penyerang dapat mengakses layanan cloud korban. Dalam beberapa tahun terakhir, semakin banyak penjahat dunia maya menggunakan aplikasi OAuth berbahaya untuk menipu pengguna, terkadang untuk melakukan phishing, dan terkadang untuk tujuan lain, seperti backdoors dan redirection.

Aktor Dibalik Serangan Ini Telah Menjalankan Kampanye Spam Sebelumnya

Microsoft telah menemukan bahwa aktor ancaman yang bertanggung jawab atas serangan Change telah menjalankan kampanye e mail spam selama beberapa waktu. Dinyatakan dalam posting weblog Microsoft Safety yang sama bahwa ada dua keunggulan yang terkait dengan penyerang ini. Aktor ancaman “menghasilkan secara terprogram”[s] pesan yang berisi dua gambar hyperlink yang terlihat di badan e mail”, dan menggunakan “konten dinamis dan acak yang disuntikkan ke dalam badan HTML dari setiap pesan e mail untuk menghindari filter spam”.

Meskipun kampanye ini telah digunakan untuk mengakses informasi kartu kredit dan mengelabui pengguna untuk memulai langganan berbayar, Microsoft menyatakan bahwa tampaknya tidak ada ancaman keamanan lebih lanjut yang ditimbulkan oleh penyerang khusus ini.

Aplikasi Sah Terus Dieksploitasi oleh Penyerang

Membuat versi palsu dan jahat dari aplikasi tepercaya bukanlah hal baru di dunia kejahatan dunia maya. Menggunakan nama yang sah untuk mengelabui korban telah menjadi metode penipuan favorit selama bertahun-tahun, dengan orang-orang di seluruh dunia jatuh ke dalam penipuan semacam itu setiap hari. Inilah sebabnya mengapa sangat penting bagi semua pengguna web untuk menerapkan langkah-langkah keamanan yang memadai (termasuk otentikasi multi-faktor) pada akun dan perangkat mereka sehingga kemungkinan terjadinya serangan siber dapat dikurangi.

See also  Pembuat Pasar Crypto Wintermute Kehilangan $ 160 Juta untuk Peretas