Преступная группировка применяет методы входа в аккаунт пользователей для совершения кибератак на крупные компании. Как удалось выяснить в ходе расследования, APT-группировка применяет OAuth2 для совершения кибератак на участников сети, использующих Office 365. Основой целью злоумышленников является похищение конфиденциальной информации, адресов электронных почт, переписок и личных контактов.
Сервис OAuth представляет собой инструмент для передачи полномочий в сети. С помощью OAuth2 злоумышленники могут входить в любые сервисы и выполнять процедуру авторизации без использования паролей. Вместо пароля система использует данные о пользователе из другого аккаунта. Собирая информацию с разных источников, система автоматически выполняет вход в аккаунт, что позволяет злоумышленникам похищать конфиденциальную информацию.
Компания Proofpoint рассказала о схеме работы злоумышленников. Мошенники отправляют пользователям заранее созданные письма, содержащие в себе ссылку с вредоносными компонентами. Когда пользователь переходит по ссылке, он попадает на сайт Microsoft. После выполнения манипуляций по подключению Office 365 сервис автоматически предоставляет мошенникам доступ к OAuth2. Когда мошенники получают доступ к системе, они могут использовать технологию авторизации для входа в любой аккаунт жертвы с целью получения конфиденциальной информации.
Сотрудники из компании Proofpoint советуют избегать подозрительных сообщений, а также внимательно читать информацию о том, каким приложениям будет разрешен доступ. Даже доступ к чтению сообщений может представлять собой серьезную угрозу для пользователей сети.
