Proofpoint: Kampagne um bösartige OAuth-Apps enttarnt
Cyberkriminelle als „verifizierte Herausgeber“ von Microsoft
Fortsetzung des Artikels von Teil 1
Verschiedene böswillige Herausgeber
Proofpoint hat laut eigenen Angaben drei bösartige Anwendungen identifiziert, die drei verschiedene kriminell motivierte Herausgeber erstellt haben. Diese Apps zielten auf dieselben Organisationen ab und sind mit derselben cyberkriminellen Infrastruktur verbunden. Proofpoint habe feststellen können, dass mehrere Benutzer in den angegriffenen Organisationen die bösartigen Anwendungen autorisierten und so die Umgebung ihrer Organisation gefährdeten. Diese Kampagne scheint vor allem auf Unternehmen und Nutzer in Großbritannien abzuzielen. Zu den betroffenen Nutzern gehörten Finanz- und Marketingmitarbeiter sowie Manager und Führungskräfte.
Die Sicherheitsforscher von Proofpoint überwachen laut eigenen Angaben weiterhin die Kampagne, einschließlich der Aktivitäten der Bedrohungsakteure und der zugehörigen Infrastruktur. Microsoft hat inzwischen die bösartigen Anwendungen deaktiviert und untersucht den Angriff näher. Zu diesem Zeitpunkt können Benutzer den bösartigen Anwendungen nicht mehr zustimmen und zuvor autorisierte bösartige Anwendungen können nur noch bis zum Ablauf des letzten Zugriffstokens (normalerweise zwischen 60 und 90 Minuten) auf Daten zugreifen. Kürzlich hat Microsoft seine Partnerüberprüfungsprozesse und die Dokumentation zu OAuth App „Consent Phishing" aktualisiert, um zukünftige Angriffe mit den hier beschriebenen Methoden abzuwehren.
Wenn die Benutzer ihre Zustimmung erteilen, ermöglichen die standardmäßig delegierten Berechtigungen in den bösartigen Anwendungen den Bedrohungsakteuren den Zugriff auf und die Manipulation von Mailbox-Ressourcen, Kalendern und Einladungen zu Meetings, die mit den Konten der kompromittierten Benutzer verknüpft sind. Da die Berechtigungen auch einen „Offline-Zugriff“ ermöglichen, ist für den Zugriff nach der Zustimmung keine Benutzerinteraktion erforderlich. Das gewährte Token (Refresh-Token) hat eine lange Gültigkeitsdauer von in den meisten Fällen über einem Jahr. Dies ermöglichte Cyberkriminellen den Zugriff auf die Daten des kompromittierten Kontos und die Möglichkeit, das kompromittierte Microsoft-Konto in nachfolgenden BEC- oder anderen Angriffen zu nutzen.
Neben der Kompromittierung von Benutzerkonten lassen sich auch die Marken von Organisationen missbrauchen. Für solche Organisationen ist es sehr schwer zu erkennen, dass ihre Marke bei diesen Angriffen missbraucht wird. Es ist keine Interaktion zwischen der imitierten Organisation und dem böswilligen verifizierten Herausgeber erforderlich.
- Cyberkriminelle als „verifizierte Herausgeber“ von Microsoft
- Verschiedene böswillige Herausgeber
Lesen Sie mehr zum Thema
