面对OAuth程序也须验证真伪！恶意活动OiVaVoii以假冒的OAuth程序锁定C级高管

nova • 2023年8月25日 15:50 • 投稿

Proofpoint上周揭露名为OiVaVoii的恶意活动，它利用挟持的Office 365租户，再加上恶意的OAuth程序来展开网络钓鱼攻击，目前对方已成功接管了许多企业高阶主管的帐号，包括执行长、总经理、前董事会成员与董事长等。

OAuth是个以权杖来取代帐号与密码输入的开放标准，目的是为了减少帐号与密码的曝光，基于OAuth的程序通常会要求用户赋予特定权限，包括读写档案、访问日历及电子邮件，寄送电子邮件或建立邮件规则等。一般而言，这些OAuth程序，都是由通过验证的发布者所建立。

然而，这样的印象已经被推翻了！ Proofpoint最近发现了5款恶意的OAuth程序，它们的命名很寻常，有两个名为Upgrade、其余是Document、Shared与UserInfo，黑客透过所挟持的电子邮件账号向特定的用户送出程序授权请求，包括C级高管在内，由于其中3款是由两家通过验证的发行者所建立，看起来太像真的，使得黑客成功接管许多受害者的帐号。基于这样的状况，使得研究人员不得不怀疑黑客已危害了发布者账号。

事实上，愈高层级的用户被骇，影响就愈大，因为他们通常拥有检视机密数据的权限，而且，如果黑客透过这些帐号来发送网钓或恶意邮件，收到这些信息的同事很难不上当。

除了窃取机密数据及发送网钓邮件之外，一般帐号如果被接管，还有助于黑客于组织内横向移动，或是散布其他恶意程序。

虽然目前微软已封锁其中4款程序，但Proofpoint认为，若发布者帐号已遭入侵，那么，对方应该会不断建立及验证新的OAuth程序，而让微软猝不及防，该公司也呼吁组织应立即采取防范措施，包括限制用户的程序授权，或是采取多层防御等，倘若已遭波及，则应尽速撤销及移除恶意程序，并检查邮件规则、档案及信息的完整性。