×

Злоумышленники взламывают серверы Exchange с помощью вредоносных OAuth-приложений

Злоумышленники взламывают серверы Exchange с помощью вредоносных OAuth-приложений

Атакам подвергаются исключительно те жертвы, у которых не установлена многофакторная аутентификация.

Команда Microsoft 365 Defender предупреждает о серии кибератак типа credential stuffing (подстановка учетных данных), нацеленных исключительно на те аккаунты с правами администратора, у которых не включена многофакторная аутентификация (MFA).

С помощью украденных аккаунтов злоумышленники получают первоначальный доступ к серверу, создают вредоносное OAuth-приложение, добавляющее новый вредоносный коннектор и набор правил для обхода систем обнаружения. После этого начинается рассылка фишинговых писем с серверов Exchange. Обычно такие почтовые кампании запускались с помощью инфраструктур Amazon SES и Mail Chimp, используемых для рассылки маркетинговых писем.

Обнаружив атаки, Microsoft удалила все вредоносные приложения и разослала предупреждения всем пострадавшим клиентам.

По мнению экспертов, у хакеров было несколько целей:

  • Получить данные кредитных карт жертв;

  • Оформить на них различные подписки;

  • Получить деньги за доставку несуществующего приза.

И все эти цели достигались с помощью спам-писем. Сейчас Microsoft заявляет, что несколько пострадавших клиентов могли потерять немного денег, но не более – угроз безопасности обнаружено не было.

Sysdig: каждый заработанный криптомайнерами доллар обходится жертве в 53 доллара

Эксперты рассчитали ущерб, проанализировав изучив крупную майнинговую кампанию Chimaera.

Исследователи Zscaler обнаружили в даркнете свежий билдер вредоносного ПО под названием Quantum

Инструмент может быть тесно связан с APT-группировкой Lazarus.