安全企业Proofpoint上周披露名为OiVaVoii的恶意活动,它利用挟持的Office 365租户,再加上恶意的OAuth程序来展开网络钓鱼攻击,目前对方已成功接管了许多企业高端主管的账号,包括首席执行官、总经理、前董事会成员与董事长等。
OAuth是个以权限来取代账号与密码输入的开放标准,目的是为了减少账号与密码的曝光,基于OAuth的程序通常会要求用户赋给特定权限,包括读写文件、访问行程表及电子邮件,发送电子邮件或创建邮件规则等。一般而言,这些OAuth程序,都是由通过验证的发行者所创建。
然而,这样的印象已经被推翻了!Proofpoint最近发现了5款恶意的OAuth程序,它们的命名很寻常,有两个名为Upgrade、其余是Document、Shared与UserInfo,黑客通过所挟持的电子邮件账号向特定的用户送出程序授权请求,包括C级高端主管在内,由于其中3款是由两家通过验证的发行者所创建,看起来太像真的,使得黑客成功接管许多受害者的账号。基于这样的状况,使得研究人员不得不怀疑黑客已危害了发行者账号。
事实上,愈高层级的用户被黑,影响就愈大,因为他们通常拥有查看机密资料的权限,而且,如果黑客通过这些账号来发送网络钓鱼或恶意邮件,收到这些消息的同事很难不上当。
除了窃取机密资料及发送网络钓鱼邮件之外,一般账号如果被接管,还有助于黑客于组织内横向移动,或是传播其他恶意程序。
虽然目前微软已封锁其中4款程序,但Proofpoint认为,若发行者账号已遭入侵,那么,对方应该会不断创建及验证新的OAuth程序,而让微软猝不及防,该公司也呼吁组织应立即采取防范措施,包括限制用户的程序授权,或是采取多层防御等,倘若已遭波及,则应尽快撤销及移除恶意程序,并检查邮件规则、文件及消息的完整性。