Schädliche OAuth-Anwendung

Hacker missbraucht Microsoft Exchange Server für Phishing-Angriff

Ein Hacker missbrauchte zahlreiche Microsoft Exchange Server, um betrügerische E-Mails zu versenden. Ziel war es, die Kreditkartendaten seiner Opfer zu erbeuten.
Von 
CSO | 26. September 2022 15:20 Uhr
Ein Hacker verschickte zahlreiche Phishing-E-Mails über Microsofts Exchange Server, um die Kreditkartendaten seiner Opfer zu stehlen.
Ein Hacker verschickte zahlreiche Phishing-E-Mails über Microsofts Exchange Server, um die Kreditkartendaten seiner Opfer zu stehlen.
Foto: Vektor illustration - shutterstock.com

Das Microsoft 365 Defender Research Team entdeckte vor kurzem, dass sich ein Cyberkrimineller über bösartige OAuth-Anwendungen Zugang zu Exchange Server verschafft hat. Dazu habe der Angreifer zunächst Credential Stuffing gegen Administratorenkonten eingesetzt, die nicht durch eine Multi-Faktor-Authentifizierung (MFA) geschützt waren, heißt es in dem Forschungsbericht. Bei Credential Stuffing nutzt der Angreifer zuvor geleakte Anmeldedaten, um sie für den unbefugten Zugang bei anderen Diensten massenhaft auszuprobieren.

Gewinnspiel als Deckmantel

"Der nicht autorisierte Zugriff auf den Cloud-Mieter ermöglichte es dem Akteur, eine bösartige OAuth-Anwendung zu erstellen, die einen bösartigen schädlichen Inbound-Connector in den E-Mail-Server einfügte", erklären die Microsoft-Forscher. Diesen Connector habe der Angreifer anschließend genutzt, "um Spam-E-Mails zu senden, die aussahen, als stammten sie von der Domäne des Ziels." Dabei täuschte der Inhalt der Spam-Nachrichten den Opfern vor, dass sie Anspruch auf einen Preis bei einem Gewinnspiel hatten. Zudem wurden die Empfänger aufgefordert, an einer Umfrage teilzunehmen und ihre Kreditkartendaten anzugeben.

Den Forschern zufolge nutzte hat der Hacker dafür eine nicht von Microsoft stammende Cloud-basierte Infrastruktur für ausgehende E-Mails benutzt, um eine größere Reichweite zu erzielen. Dabei seien hauptsächlich die Dienste Amazon SES und Mail Chimp zum Einsatz gekommen. Diese Plattformen werden häufig für Marketing-Zwecke verwendet und erlauben deshalb den Versand von Massen-E-Mails.

Um unter dem Radar von Sicherheits-Tools zu bleiben, löschte der Angreifer dem Bericht zufolge den Inbound-Connector und sämtliche Transportregeln zwischen den Spam-Kampagnen. Die OAuth-Anwendung wurde jedoch weiter genutzt, um Konnektoren und Regeln auf dem Microsoft Exchange Server wiederholt hinzuzufügen.

"Der Akteur, der hinter diesem Angriff steht, führt seit vielen Jahren aktiv Spam-E-Mail-Kampagnen durch", so die Microsoft-Forscher. Innerhalb kurzer Zeit soll der Angreifer große Mengen an Spam-E-Mails mit anderen Methoden versendet haben. Zum Beispiel, indem er sich von betrügerischen IP-Adressen aus mit Mail-Servern verbunden hat oder direkt durch eine legitime Cloud-basierte Infrastruktur für den Massen-E-Mail-Versand.

Lesetipp: 37 Gigabyte Daten gestohlen - Hackerangriff auf Microsoft

Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.