Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Kenkėjiška programa „AgreeTo“ kenkėjiškas „Outlook“ papildinys

„AgreeTo“ kenkėjiškas „Outlook“ papildinys

Autorius Mezo, Kenkėjiška programa, Išplėstinė nuolatinė grėsmė (APT)
Versti į:

Kibernetinio saugumo tyrėjai atrado, kaip manoma, pirmąjį žinomą kenkėjišką „Microsoft Outlook“ papildinį. Kampanija, kodiniu pavadinimu „AgreeToSteal“, yra naujas ir nerimą keliantis tiekimo grandinės išpuolis, piktnaudžiaujantis pasitikėjimu „Microsoft Office“ papildinių ekosistema.

Šio incidento metu grėsmės veikėjas užgrobė domeną, susietą su apleistu, bet teisėtu „Outlook“ papildiniu. Pasinaudodamas nebegaliojančia infrastruktūra, užpuolikas įdiegė suklastotą „Microsoft“ prisijungimo puslapį ir sėkmingai surinko daugiau nei 4000 vartotojų kredencialų.

Šis atradimas žymi naują rinkos pagrindu veikiančių tiekimo grandinės grėsmių etapą, šį kartą nukreiptą į įmonių produktyvumo programinę įrangą.

Nuo produktyvumo įrankio iki sukčiavimo apsimetant vektoriaus

Pažeistas papildinys, žinomas kaip „AgreeTo“, iš pradžių buvo sukurtas tam, kad padėtų vartotojams sujungti kelis kalendorius ir bendrinti pasiekiamumą el. paštu. Paskutinį kartą jis buvo atnaujintas 2022 m. gruodžio mėn.

Kitaip nei tradicinės kenkėjiškų programų platinimo kampanijos, ši ataka nebuvo susijusi su kodo bazės pažeidžiamumo išnaudojimu. Vietoj to, ji pasinaudojo struktūriniu „Office“ priedų veikimo trūkumu. Tyrėjai tai priskiria anksčiau pastebėtų atakų, paveikiančių naršyklės plėtinius, npm paketus ir IDE papildinius – patikimus platinimo kanalus, kuriuose patvirtintas turinys vėliau gali būti pakeistas nesukeliant tikrinimo, variantui.

„Office“ papildiniai kelia didesnę riziką dėl kelių sudėtinių veiksnių:

  • Jie vykdomi tiesiogiai programoje „Outlook“, kurioje tvarkomi itin jautrūs pranešimai.
  • Jie gali prašyti suteikti galingus leidimus, įskaitant galimybę skaityti ir modifikuoti el. laiškus.
  • Jie platinami per oficialią „Microsoft“ parduotuvę, paveldėdami numanomą naudotojų pasitikėjimą.

„AgreeTo“ atvejis pabrėžia svarbią realybę: pirminis kūrėjas nedarė nieko piktavališko. Buvo sukurtas teisėtas produktas, o vėliau jo atsisakyta. Ataka išnaudojo atotrūkį tarp projekto atsisakymo ir rinkos priežiūros.

„Office“ papildinių architektūros išnaudojimas

Šio incidento esmė – „Office“ priedų dizainas. Kūrėjai pateikia savo priedus per „Microsoft“ partnerių centrą, kur sprendimas peržiūrimas ir patvirtinamas. Tačiau patvirtinimas daugiausia susijęs su manifesto failu, o ne su statiniu kodo paketu.

„Office“ papildiniai iš esmės skiriasi nuo įprastos programinės įrangos. Užuot siuntęs susietą kodą, manifesto faile nurodomas URL. Kiekvieną kartą atidarius papildinį programoje „Outlook“, programa iš to URL nuskaito tiesioginį turinį ir pateikia jį „iframe“ rėmelyje.

Šis architektūrinis modelis įveda kritinę riziką: patvirtinus ir pasirašius papildinį, jis toliau realiuoju laiku įkelia visą turinį, kurį pateikia nurodytas URL. Jei pasikeičia URL valdymas dėl domeno galiojimo pabaigos ar infrastruktūros atsisakymo, kenkėjiškas turinys gali būti įvestas nekeičiant pasirašyto manifesto.

„AgreeTo“ atveju manifeste buvo nurodytas „Vercel“ talpinamas URL (outlook-one.vercel[.]app). Kai kūrėjo diegimas buvo ištrintas ir projektas apie 2023 m. faktiškai tapo abandonware, URL tapo prieinamas. Užpuolikas jį perėmė, o papildinys liko „Microsoft“ parduotuvėje.

Pranešimų rašymo metu infrastruktūra tebėra aktyvi.

Sukčiavimo apsimetant vykdymas ir kredencialų nutekėjimas

Užpuolęs apleistą diegimą, užpuolikas nurodytame URL adresu talpino sukčiavimo rinkinį. Kenkėjiškas turinys rodė netikrą „Microsoft“ prisijungimo puslapį, skirtą vartotojo kredencialams nuskaityti.

Užfiksuoti slaptažodžiai buvo išgauti naudojant „Telegram Bot“ API. Aukos buvo nukreipiamos į teisėtą „Microsoft“ prisijungimo puslapį, taip sumažinant įtarimą ir padidinant sėkmingos prisijungimo duomenų vagystės tikimybę.

Nors pastebėta veikla buvo sutelkta į kredencialų rinkimą, tyrėjai įspėja, kad poveikis galėjo būti gerokai didesnis. Papildinys buvo sukonfigūruotas su „ReadWriteItem“ teisėmis, leidžiančiomis skaityti ir modifikuoti vartotojų el. laiškus. Agresyvesnis grėsmių veikėjas galėjo panaudoti „JavaScript“, galintį tyliai išgauti pašto dėžučių turinį, taip sukurdamas galingą šnipinėjimo vektorių įmonės aplinkoje.

Rinkos priežiūros spraga su platesnėmis pasekmėmis

„Microsoft“ peržiūri priedų deklaracijas pradinio pateikimo proceso metu, tačiau po patvirtinimo nėra nuolatinio tiesioginio turinio, kurį teikia nurodyti URL adresai, patvirtinimo. Dėl to susidaro struktūrinis pasitikėjimo trūkumas: deklaracija pasirašoma vieną kartą, tačiau nuotolinis turinys, į kurį ji nurodo, gali keistis neribotą laiką.

„AgreeTo“ papildinys buvo pasirašytas 2022 m. gruodžio mėn. Nors patvirtinimo metu originalus turinys buvo teisėtas, tas pats URL dabar naudojamas kaip sukčiavimo rinkinys, o papildinys išlieka pasiekiamas parduotuvėje.

Ši problema neapsiriboja vien „Microsoft“ ekosistema. Bet kuri prekyvietė, kuri patvirtina pateikimą vieną kartą ir nuolat nestebi nuotolinių dinaminių priklausomybių, susiduria su panašia rizika. Struktūrinis trūkumas yra nuoseklus visose platformose: patvirtinus vieną kartą, pasitikima neribotą laiką.

Strateginės priemonės rinkos rizikai mažinti

Siekdami pašalinti sisteminius trūkumus, kuriuos atskleidė „AgreeToSteal“, saugumo ekspertai rekomenduoja keletą atsakomųjų priemonių:

  • Suaktyvinti automatines pakartotines peržiūras, kai priedo nurodytas URL pradeda teikti turinį, kuris iš esmės skiriasi nuo iš pradžių peržiūrėto.
  • Įdiekite domeno nuosavybės patvirtinimą, kad patvirtintumėte, jog infrastruktūra lieka kūrėjo kontroliuojama, ir pažymėkite priedus, kai pasikeičia prieglobos nuosavybė.
  • Sukurkite mechanizmus, skirtus pašalinti iš sąrašo arba įspėti vartotojus apie priedus, kurie nebuvo atnaujinti per nustatytą laiką.
  • Ekrano įrengimo skaičius, siekiant padėti įvertinti matomumą ir galimą poveikį.

Nuolatinis tiesioginio turinio stebėjimas, o ne vien pasikliavimas statiniu manifesto patvirtinimu, yra būtinas siekiant sumažinti tiekimo grandinės riziką šiuolaikinėse plėtros ekosistemose.

Žadinimo skambutis dinaminiams priklausomybės pasitikėjimo modeliams

„AgreeToSteal“ kampanija iliustruoja esminį šiuolaikinių programinės įrangos platinimo modelių iššūkį. „Office“ priedai, naršyklės plėtiniai ir panašūs prekyvietėje talpinami įrankiai dažnai priklauso nuo nuotolinio, dinamiškai teikiamo turinio.

Be periodiško pakartotinio nuskaitymo ir elgsenos stebėjimo, patikimos programos gali tyliai virsti atakų vektoriais.

Šis atvejis yra įspėjimas platformų operatoriams ir įmonių gynėjams: pasitikėjimas turi būti nuolat patvirtinamas, ypač kai kalbama apie nuotolinę infrastruktūrą ir dinamines priklausomybes.

Tendencijos

TeamPCP kirminas

Išplėstinė nuolatinė grėsmė (APT), Kenkėjiška programa, Kirmėlės
Kibernetinio saugumo tyrėjai atskleidė plačią, kirminų valdomą kampaniją, kuri sistemingai taikosi į debesijos kompiuterijos aplinkas, siekiant sukurti kenkėjišką infrastruktūrą vėlesniam išnaudojimui. Su šia operacija susijusi veikla buvo pastebėta apie 2025 m. gruodžio 25 d., atskleidžiant koordinuotas pastangas piktnaudžiauti pažeidžiamomis paslaugomis ir pažeidžiamumais šiuolaikiniuose...

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
26,373
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...