微软警告称，威胁行为者正在使用 OAuth 应用程序进行加密货币挖掘活动和网络钓鱼攻击。

威胁参与者正在使用 OAuth 应用程序，例如加密货币挖掘活动和其他出于经济动机的攻击中的自动化工具。

攻击者危害用户帐户来创建、修改 OAuth 应用程序并授予高权限，以执行恶意活动并保持对应用程序的访问权限，即使他们失去了对最初受感染帐户的访问权限。

Microsoft Threat Intelligence 还观察到威胁参与者发起网络钓鱼或密码喷射攻击，以危害没有强大身份验证机制且有权创建或修改 OAuth 应用程序的用户帐户。

“威胁行为者滥用具有高权限的 OAuth 应用程序来部署虚拟机 (VM) 进行加密货币挖掘，在商业电子邮件泄露 (BEC) 后建立持久性，并使用目标组织的资源和域名发起垃圾邮件活动。” 微软表示。

Storm-1283 组织是使用受感染帐户创建 OAuth 应用程序的威胁参与者之一。受感染的帐户允许攻击者创建 OAuth 应用程序并部署虚拟机作为加密货币挖矿活动的一部分。

“受感染的帐户允许 Storm-1283 通过虚拟专用网络 (VPN) 登录，在 Microsoft Entra ID 中创建一个新的单租户 OAuth 应用程序，其名称与 Microsoft Entra ID 租户域名类似，并向应用。” 报告继续。“由于受感染的帐户在 Azure 订阅上拥有所有权角色，因此攻击者还 向使用受感染帐户的活动订阅之一授予了应用程序的‘贡献者’角色权限。”

研究人员观察到该组织使用现有的业务线 (LOB) OAuth 应用程序，受感染的用户帐户可以访问该应用程序。他们通过向这些应用程序添加一组额外的凭据来实现这一目标。

最初，Storm-1283 在受感染的订阅内建立了少量虚拟机 (VM)，利用现有应用程序进行加密挖矿活动。随后，威胁行为者利用受感染的环境，使用新颖的应用程序添加额外的虚拟机。加密货币挖矿活动给目标组织造成了 10,000 至 150 万美元的经济损失。

Microsoft 观察到不同的威胁参与者使用受损的用户帐户并创建 OAuth 应用程序来维持持久性并发起网络钓鱼攻击。该攻击者使用了中间对手 ( AiTM ) 网络钓鱼工具包，针对多个组织中的用户帐户。

Microsoft Threat Intelligence 还观察到一个明显的攻击者利用受感染的用户帐户通过在 Microsoft Outlook Web 应用程序 (OWA) 中打开电子邮件附件来执行 BEC 财务欺诈侦察。该攻击者查看电子邮件附件中的特定关键字，例如 “付款” 和 “发票”，以收集有关目标的情报。

Microsoft 还观察到另一个威胁参与者（被追踪为 Storm-1286）通过 OAuth 应用程序进行大规模垃圾邮件活动。

Microsoft 提供了以下缓解措施来减少此类威胁的影响：

• 减轻凭证猜测攻击风险；
• 启用条件访问策略；
• 确保启用持续访问评估；
• 启用安全默认值；
• 启用 Microsoft Defender 自动攻击中断。