ДЫРА В БЕЗОПАСНОСТИ

​​Хакеры захватывают учетные записи генеральных директоров с помощью мошеннических приложений OAuth

Новая волна хакерских атак под названием «OiVaVoii», нацелена на руководителей и генеральных менеджеров компаний с помощью вредоносных приложений OAuth и настраиваемых фишинговых приманок, отправленных со взломанных учетных записей Office 365. Последствия захвата учетных записей руководителей варьируются от горизонтального перемещения в сети и инсайдерского фишинга до развертывания программ-вымогателей и компрометации корпоративной электронной почты. OAuth — это стандарт аутентификации и авторизации на основе токенов, устраняющий необходимость вводить пароли учетных записей. Приложениям, использующим OAuth, требуются определенные разрешения, такие как права на чтение и запись файлов, доступ к календарю и электронной почте, а также авторизация отправки электронной почты. Цель этой системы — повысить удобство использования и удобство при сохранении высокого уровня безопасности в надежных средах за счет уменьшения раскрытия учетных данных. Участники хакерских атак OiVaVoii использовали как минимум пять вредоносных приложений OAuth, четыре из которых в настоящее время заблокированы: «Upgrade», «Document», «Shared» и «UserInfo». Три из этих приложений были созданы проверенными издателями, что указывает на то, что злоумышленники взломали учетную запись законного арендатора Office. Затем злоумышленники использовали приложения для отправки запросов на авторизацию высокопоставленным руководителям целевых организаций. Во многих случаях получатели принимали запросы, не видя в них ничего подозрительного. Когда жертвы нажимают кнопку «Принять», злоумышленники используют токен для отправки электронных писем со своих учетных записей другим сотрудникам в той же организации. Если они нажмут «Отмена», манипуляция с URL-адресом ответа перенаправит их обратно на экран согласия, заблокировав их на той же странице, пока они не примут запрос на разрешение. Сейчас хакерская атака находится все еще в активной фазе. Четыре вредоносных приложения OAuth, используемых участниками этих атак, были заблокированы, но новые создаются и используются таким же образом. Кроме того, руководители, которые уже были скомпрометированы и получили доступ к своим учетным записям, остаются точками высокого риска для пострадавших организаций. Потенциально скомпрометированные фирмы должны отозвать разрешения, удалить приложения, удалить все вредоносные правила для почтовых ящиков, добавленные субъектами, и сканировать любые удаленные файлы. Наконец, все сотрудники должны быть обучены подозревать внутренние сообщения, особенно сообщения от высокопоставленных руководителей, которые не соответствуют их стандартным деловым практикам.

www.tgoop.com/INF0SEC/960

321 viewsJan 29, 2022 at 15:38

​​Хакеры захватывают учетные записи генеральных директоров с помощью мошеннических приложений OAuth

Новая волна хакерских атак под названием «OiVaVoii», нацелена на руководителей и генеральных менеджеров компаний с помощью вредоносных приложений OAuth и настраиваемых фишинговых приманок, отправленных со взломанных учетных записей Office 365. Последствия захвата учетных записей руководителей варьируются от горизонтального перемещения в сети и инсайдерского фишинга до развертывания программ-вымогателей и компрометации корпоративной электронной почты. OAuth — это стандарт аутентификации и авторизации на основе токенов, устраняющий необходимость вводить пароли учетных записей. Приложениям, использующим OAuth, требуются определенные разрешения, такие как права на чтение и запись файлов, доступ к календарю и электронной почте, а также авторизация отправки электронной почты. Цель этой системы — повысить удобство использования и удобство при сохранении высокого уровня безопасности в надежных средах за счет уменьшения раскрытия учетных данных. Участники хакерских атак OiVaVoii использовали как минимум пять вредоносных приложений OAuth, четыре из которых в настоящее время заблокированы: «Upgrade», «Document», «Shared» и «UserInfo». Три из этих приложений были созданы проверенными издателями, что указывает на то, что злоумышленники взломали учетную запись законного арендатора Office. Затем злоумышленники использовали приложения для отправки запросов на авторизацию высокопоставленным руководителям целевых организаций. Во многих случаях получатели принимали запросы, не видя в них ничего подозрительного. Когда жертвы нажимают кнопку «Принять», злоумышленники используют токен для отправки электронных писем со своих учетных записей другим сотрудникам в той же организации. Если они нажмут «Отмена», манипуляция с URL-адресом ответа перенаправит их обратно на экран согласия, заблокировав их на той же странице, пока они не примут запрос на разрешение. Сейчас хакерская атака находится все еще в активной фазе. Четыре вредоносных приложения OAuth, используемых участниками этих атак, были заблокированы, но новые создаются и используются таким же образом. Кроме того, руководители, которые уже были скомпрометированы и получили доступ к своим учетным записям, остаются точками высокого риска для пострадавших организаций. Потенциально скомпрометированные фирмы должны отозвать разрешения, удалить приложения, удалить все вредоносные правила для почтовых ящиков, добавленные субъектами, и сканировать любые удаленные файлы. Наконец, все сотрудники должны быть обучены подозревать внутренние сообщения, особенно сообщения от высокопоставленных руководителей, которые не соответствуют их стандартным деловым практикам.

BY ДЫРА В БЕЗОПАСНОСТИ