微软警告有财务动机的威胁行为者利用OAuth应用程序

Storm-1283：加密货币挖矿和商业电子邮件欺诈攻击

一个值得注意的威胁行为者，被称为Storm-1283，创建了一个OAuth应用程序来部署专用于加密货币挖矿的虚拟机。对受攻击的组织的财务影响因攻击持续时间的不同而异。另一个威胁行为者利用被入侵的账户保持持久性并发起钓鱼攻击，使用了中间人钓鱼工具包。这些攻击者还利用被入侵的账户进行商业电子邮件欺诈的侦察工作。

OAuth应用程序滥用的大规模

在另外的情况中，另一个威胁行为者创建了多租户OAuth应用程序以保持持久性，添加新的凭据，并进行钓鱼攻击。微软观察到，这个威胁行为者使用多个被入侵的用户账户，在不同的租户上创建了大约17,000个多租户OAuth应用程序。这些恶意的OAuth应用程序发送了超过927,000封钓鱼邮件。微软已经关闭了与这个攻击活动相关的所有恶意OAuth应用程序。

保护OAuth应用程序免受滥用的建议

为了防止恶意行为者滥用OAuth应用程序，微软建议实施多因素身份验证(MFA)以防止凭证填充和钓鱼攻击。安全团队还应该启用条件访问策略，以阻止利用被盗凭证的攻击，启用持续访问评估以根据风险触发器自动撤销用户访问权限，并启用Azure Active Directory安全默认设置以确保MFA被启用并保护特权活动。