Cyberthreat.id – Peneliti keamanan dari Microsoft, mengungkapkan bahwa pelaku ancaman menggunakan aplikasi OAuth pada penyewa cloud yang disusupi, lalu menggunakannya untuk mengontrol server Exchange dan menyebarkan spam.

Dikutip dari Info Security Magazine, berdasarkan hasil investigasi baru-baru ini para peretas meluncurkan serangan isian kredensial (yang menggunakan daftar kredensial pengguna yang disusupi) terhadap akun administrator berisiko tinggi dan tidak aman yang tidak memiliki otentikasi multi-faktor (MFA) yang diaktifkan untuk mendapatkan akses awal.

"Akses tidak sah ke penyewa cloud memungkinkan aktor untuk membuat aplikasi OAuth berbahaya yang menambahkan konektor masuk berbahaya di server email," tulis Microsoft dalam posting blog.

Peneliti menjelaskan, aktor tersebut kemudian dilaporkan menggunakan konektor masuk berbahaya untuk mengirim email spam yang sepertinya berasal dari domain asli target.

"Email spam dikirim sebagai bagian dari skema undian menipu yang dimaksudkan untuk mengelabui penerima agar mendaftar untuk langganan berbayar berulang,” kata peneliti.

Peneliti mengatakan popularitas penyalahgunaan aplikasi OAuth baru-baru ini meningkat, terutama upaya yang mengandalkan phishing persetujuan (menipu pengguna agar memberikan izin ke aplikasi OAuth berbahaya).

“Dalam beberapa tahun terakhir, Microsoft telah mengamati bahwa semakin banyak aktor ancaman, termasuk aktor negara-bangsa, telah menggunakan aplikasi OAuth untuk tujuan jahat yang berbeda di C2, pintu belakang, phishing, pengalihan, dan segera,” kata peneliti.

Adapun serangan terbaru yang disaksikan oleh Microsoft, itu melibatkan penggunaan jaringan aplikasi penyewa tunggal yang dipasang di organisasi yang disusupi sebagai platform identitas aktor untuk melakukan serangan. Segera setelah jaringan terungkap, semua aplikasi terkait dihapus, dan pemberitahuan kepada pelanggan dikirim, termasuk langkah-langkah perbaikan yang disarankan.

Menurut Microsoft, serangan tersebut mengekspos kelemahan keamanan yang dapat digunakan oleh pelaku ancaman lain dalam serangan yang berdampak langsung pada perusahaan yang terkena dampak.

Untuk mengurangi permukaan serangan dan mengurangi dampak serangan seperti ini, Microsoft merekomendasikan penerapan MFA dan mengaktifkan kebijakan akses bersyarat, evaluasi akses berkelanjutan (CAE), dan default keamanan di Azure Active Directory (AD).

Laporan ini muncul beberapa bulan setelah GitHub mengungkapkan bahwa beberapa organisasi telah disusupi oleh pencuri data yang menggunakan token OAuth curian untuk mengakses repositori pribadi mereka.