金融动机攻击的自动化钓鱼与密码喷射攻击

关键要点

威胁行为者通过自动化钓鱼和密码喷射攻击入侵用户账户，特别是那些缺乏强身份验证机制的账户。这些账户具备创建或修改 OAuth 应用的权限，威胁者利用这些应用进行加密货币挖矿和垃圾邮件活动。Microsoft 强烈建议安全团队关注身份基础设施及其安全保护措施。

根据 Microsoft 威胁情报，威胁行为者启动了金融动机攻击，利用自动化钓鱼和密码喷射攻击来入侵不具备强身份验证机制的用户账户，这些账户有权限创建或修改 OAuth 应用。

在 2023 年 12 月 12 日的一篇博客文章中，Microsoft 研究人员指出，威胁行为者滥用高权限的 OAuth 应用来部署用于加密货币挖矿的虚拟机，在企业邮箱被入侵BEC后建立持久性，并利用目标组织的资源和域名发起垃圾邮件活动。

OAuth 是一种广为人知的基于令牌的身份验证和授权的开放标准，使应用能基于用户设定的权限访问数据和资源。Microsoft 的研究人员提到，威胁者通过入侵用户账户，创建、修改并授权高权限给 OAuth 应用，从而隐蔽恶意活动。

主要建议：关注身份基础设施

Microsoft 强烈建议安全团队在缓解措施中确保身份基础设施的安全。研究人员表示，此次攻击中观察到的最常见的初始访问途径是通过凭证填充、钓鱼和反向代理钓鱼进行的账户入侵。大多数被入侵的账户没有启用多因素身份验证MFA。

“实施安全实践 来加强账户凭证，比如启用 MFA，将大幅减少攻击的机会，”研究人员写道。

Keeper Security 的安全和架构副总裁 Patrick Tiquet 解释说，大多数 OAuth 漏洞发生在不当实施的情况下这也是为什么这类项目需要经验丰富的工程师和额外的代码审查时间的原因。

然而，Tiquet 表示，在大多数情况下，OAuth 的实施是正确的，伴随不当实施而产生的漏洞可能同样是由企业在实施和存储传统密码时导致的。

水母加速器官网

“Tiquet 说，‘使用 OAuth 创建新账户的优势和劣势取决于如何创建这些账户。使用 Facebook、Twitter、Google 或 Apple 在第三方网站上使用 OAuth 创建账户会生成用于登录的令牌，而不是使用传统身份验证的用户名和密码。这样做的好处是，如果第三方服务被攻击，令牌可以保护凭证。如果令牌遭到泄露，双因素身份验证也无能为力。我们建议在可能的情况下使用唯一密码和 MFA。’”

Cyware 的主管 Emily Phelps 表示，这一威胁进一步强调了 MFA 作为基本安全实践的重要性。Phelps 表示，尽管无密码安全有其自身的挑战，但要朝这个方向发展，网络安全需要重新思考信任模型。

“虽然很多人已经在这样做，但准备超越身份验证，涵盖持续监控和动作验证能力将成为基本条件，”Phelps 说道。“虽然远离密码作为主要身份验证形式对安全有益，但这意味着必须采取额外措施以有效保障其他替代方案。”