最近,威脅行為者使用自動化的釣魚和密碼技術進行了以金融為動機的攻擊,以犯罪使用者帳戶,這些帳戶缺乏強大的身分驗證機制。根據微軟威脅情報一篇12月12日的部落格文章,強調了OAuth應用程式的誤用問題,攻擊者透過這種手法授予高特權權限。攻擊者部署虛擬機器進行加密貨幣挖礦,同時通過商業商業郵件詐騙(Business Email Compromise,BEC)建立持續性的滲透,並利用組織的資源和域名發起垃圾郵件活動。
OAuth是一個身份驗證和授權的開放標準,也是這些攻擊的核心。威脅行為者利用被盜用的帳戶來建立、修改和授予高特權的OAuth應用程式,隱藏惡意活動。微軟強烈建議將保護身分認證基礎結構視為緩解措施,受害帳戶的資料外洩,主要是通過密碼填充、釣魚和反向代理釣魚造成的。受害的帳戶大多缺乏多因素身份驗證(Multi-Factor Authentication,MFA)。
微軟的研究人員強調了實施安全措施,如啟用MFA,以降低攻擊的可能性。 OAuth漏洞通常源於不當執行,因此需要由經驗豐富的工程師進行深入的程式碼審查。這種OAuth應用程式的誤用威脅強調了MFA作為基本安全措施的重要性。儘管無密碼安全具有挑戰性,然而需要重新評估信任模型,同時提升連續監控和行動驗證的能力。
微軟的威脅情報團隊進一步詳細說明了以OAuth應用程式作為自動化工具進行的經濟利益動機攻擊和詐騙的細節。威脅行為者使用被盜用的帳戶建立OAuth應用程式進行加密貨幣挖礦,同時產生了可觀的Azure計算費用。這說明攻擊者不僅利用被盜用的帳戶進行不當操作,還可能導致受害組織的額外費用開支。研究人員觀察到特定主題,例如針對組織內部資訊、金融交易、個人隱私等主題的釣魚攻擊,並強調組織需要實施諸如MFA、條件存取政策(conditional access policies )和連續存取評估(continuous access evaluation)等安全措施,以減輕這些威脅。條件存取政策是一種基於條件的存取控制機制,它根據用戶的屬性和環境條件,決定是否允許用戶存取特定的資源或應用程式。這些條件可以包括用戶的身分、設備的健康狀態、存取的位置等。連續存取評估是指不僅在用戶登錄時,而且在整個用戶存取期間,不斷評估和更新其存取權限的過程。這有助於即時檢測和應對可能的安全風險,並確保用戶的存取權限保持最新。
OAuth的誤用構成了一個重大風險,組織應該優先考慮堅固的安全措施,包括MFA,以防範金融動機的網路犯罪。
| 本文內容純屬筆者個人意見,並不代表TWNIC立場 |
相關連結:
Steve Zurier(2023).Threat actors launch financially motivated attacks abusing OAuth applications. scmagazine. 檢自: https://www.scmagazine.com/news/threat-actors-launch-financially-motivated-attacks-abusing-oauth-applications(Dec 13, 2023)
Craig Hale(2023).Microsoft says criminals are misusing OAuth apps to launch scam attacks. techradar. 檢自: https://www.techradar.com/pro/security/microsoft-says-criminals-are-misusing-oauth-apps-to-launch-scam-attacks (Dec 13, 2023)
Jessica Lyons Hardcastle(2023).Money-grubbing crooks abuse OAuth – and baffling absence of MFA – to do financial crimes. theregister. 檢自: https://www.msn.com/en-us/news/technology/money-grubbing-crooks-abuse-oauth-and-baffling-absence-of-mfa-to-do-financial-crimes/ar-AA1lushr (Dec 14, 2023)
