微软安全团队警告：OAuth 应用程序滥用引发邮箱攻击

关键要点

• 黑客利用被盗凭证通过 OAuth 应用程序攻击云租户，控制 Exchange Online 设置。
• 大多数被影响账户未启用多重身份验证（MFA），使攻击更容易实施。
• 攻击者创建恶意 OAuth 应用程序用于发送伪装的垃圾邮件。
• 该攻击强调了启用 MFA 作为保护措施的重要性。

微软最近在其安全博客中详细介绍了一起攻击事件，黑客通过恶意的 OAuth 应用程序对云租户实施了攻击，并控制了 ，最终目的是传播垃圾邮件。

攻击者通过使用凭证填充攻击获得初始访问权限，受害者主要是那些没有启用多因素身份验证且拥有管理员角色的账户，这些凭证极有可能来自已泄露的凭证数据集。根据

的报告，微软的调查显示，86% 的受损租户至少有一个管理员账户被 Azure AD 身份保护标记为高风险，并指出启用 MFA 可能会阻止此次攻击。

攻击链：恶意行为者如何获得 Microsoft Exchange 服务器的访问权限以发送垃圾邮件。

攻击者进一步利用 PowerShell 脚本创建了一个恶意的 ，在电子邮件服务器中添加了一个恶意的入站连接器，并利用这个连接器发送伪装成目标域的垃圾邮件。

“攻击者的动机是传播旨在欺骗收件人的虚假抽奖垃圾邮件，诱使他们提供信用卡信息并在获得有价值奖项的幌子下签订定期订阅。”

欲了解更多关于攻击的详细信息和建议的应对措施，请查看 Microsoft 365 Defender Research Team 的
。