[ad_1]
Microsoft는 사기성 MPN(Microsoft Associate Community) 계정이 피해자를 속여 이메일 계정에 액세스할 수 있는 권한을 부여하는 가짜 앱을 특징으로 하는 피싱 캠페인에 사용되었다고 경고했습니다.
공격자는 사기성 MPN 계정을 사용하여 “SSO(Single Signal On)” 및 “Assembly”과 같이 Zoom의 이전 비디오 아이콘 및 Zoom과 유사한 시각적 표시로 위장한 합법적으로 들리는 앱의 가짜 버전을 등록했습니다. URL, 보안업체 프루프포인트에 따르면.
또한: 공용 Wi-Fi 안전 팁: 맬웨어 및 보안 위협으로부터 자신을 보호하십시오.
공격자는 먼저 합법적인 회사를 사칭하여 Microsoft 클라우드 파트너 프로그램 또는 MCCP(이전의 Microsoft 파트너 네트워크 또는 MPN)에 등록한 다음 계정을 사용하여 확인된 게시자를 Azure Lively Directory에서 생성한 OAuth 앱 등록에 추가했습니다. 기원 후).
Microsoft는 공격자가 가짜 앱과 Azure AD 기반 OAuth 동의 프롬프트(아래 그림)를 사용하여 대상을 속여 앱에 대한 권한(예: 이메일 읽기, 연락처 액세스 등)을 부여하기 때문에 공격을 “동의 피싱”으로 분류합니다. 에, 잠재적으로 1년 내내. 또한 확인된 게시자 상태에서 게시자 이름에는 Microsoft가 앱 게시자를 확인했음을 나타내는 파란색 ‘확인됨’ 배지가 표시됩니다.
마이크로소프트 블로그 포스트에서 말한다 피싱 캠페인은 “주로 영국과 아일랜드에 기반을 둔 고객의 하위 집합”을 표적으로 삼았습니다. 또한 사기성 앱을 비활성화하고 영향을 받는 고객에게 알렸습니다.
Microsoft는 동의 피싱 사건을 목격했습니다. 최근 몇 년간 꾸준히 증가, 이 기술은 Workplace 365 고객을 대상으로 하는 데 사용되었습니다. 피해자가 부여한 OAuth 권한 토큰은 공격자가 대상의 계정 암호를 요구하지 않지만 여전히 기밀 데이터에 액세스할 수 있기 때문에 유용합니다. 마이크로소프트는 최근 문서를 업데이트했습니다 공격 스타일에 대해
Proofpoint는 12월 6일에 악의적인 타사 OAuth 앱을 감지하고 12월 20일에 Microsoft에 알렸습니다. 피싱 캠페인은 12월 27일에 종료되었습니다. Microsoft는 12월 15일 동의 피싱 캠페인을 알게 되었습니다.
Proofpoint는 OAuth 위임 권한에 대한 동의 피싱을 악의적인 앱이 사용자를 대신하여 손상된 사용자 계정에 연결된 사서함 리소스, 일정 및 회의 초대에 액세스할 수 있도록 하는 강력한 도구라고 강조합니다.
“부여된 토큰(새로 고침 토큰)은 대부분의 경우 1년 이상의 긴 만료 기간을 가집니다. 이로 인해 위협 행위자는 손상된 계정의 데이터에 액세스하고 후속 BEC 또는 기타 공격에서 손상된 Microsoft 계정을 활용할 수 있습니다.” .
또한: 사이버 보안 직원이 어려움을 겪고 있습니다. 그들을 더 잘 지원하는 방법은 다음과 같습니다.
Microsoft는 이 캠페인의 주요 목표가 대상 조직의 전자 메일을 빼내는 것이라고 판단했습니다.
“Microsoft의 조사에 따르면 피해자 사용자가 동의한 후 공격자는 타사 OAuth 애플리케이션을 주요 기술/벡터로 사용하여 이메일을 유출했습니다. 사용자가 이러한 애플리케이션에 동의한 영향을 받은 모든 고객에게 알림이 전송되었습니다.”
그렇다면 위협 행위자는 어떻게 MPN/MCPP에 대한 Microsoft의 검사를 통과했을까요? Proofpoint에 따르면 공격자들은 사기성 앱에 기존의 합법적 게시자의 이름처럼 보이는 이름 하나를 표시했습니다. 한편 그들은 표시된 이름과 다른 실제 “확인된 게시자” 이름을 숨겼습니다. Proofpoint는 두 가지 사례에서 공격자가 악성 애플리케이션을 만든 지 하루 만에 확인을 받았다고 말합니다.
공격자가 확인된 게시자 ID를 받으면 각 앱에 가장한 조직 웹 사이트의 “서비스 약관” 및 “정책 설명”에 대한 링크를 추가했습니다. 과거에는 동의 피싱 캠페인이 기존 MPN 인증 게시자를 손상시켜 OAuth를 남용했습니다. 새로운 방법은 악성 OAuth 앱의 신뢰도를 높입니다.
마이크로소프트는 “MCPP 조사 과정을 개선하고 향후 유사한 사기 행위의 위험을 줄이기 위해 몇 가지 추가 보안 조치를 구현했다”고 밝혔습니다.
[ad_2]
Source_