Cyberproof’un Güvenlik Operasyon Merkezi’ndeki (SOC) güvenlik analistleri, modern algılama sistemlerini atlamak için Microsoft SharePoint’ten yararlanan kimlik avı kampanyalarında keskin bir artış tespit etti.
Gömülü kötü niyetli bağlantılara dayanan geleneksel kimlik avı denemelerinden farklı olarak, bu sofistike saldırılar, kullanıcıların işletmeler içinde yaygın olarak benimsenen bir işbirliği platformu olan SharePoint’e verdiği doğal güvenden yararlanmaktadır.
Kimlik avı URL’lerini meşru dosya paylaşım bağlantıları olarak gizleyerek, tehdit aktörleri kullanıcıları kimlik bilgisi hasat sayfalarına erişmeye veya kötü amaçlı yazılımları indirmeye kandırır.
.png
)
Saldırganlar güvenilir Microsoft Platformundan yararlanır
Bu saldırıların gizli doğası, SharePoint bağlantıları nadiren şüpheli olarak işaretlendiğinden, uç nokta algılama ve yanıt (EDR) araçlarından ve e -posta güvenlik ağ geçitlerinden kaçınma yeteneklerinden kaynaklanmaktadır.
Ayrıca, SharePoint’teki kötü niyetli içeriğin dinamik ve zamana duyarlı barındırılması, otomatik tarayıcıların ve kum havuzlarının bu tehditleri algılamasını zorlaştırarak saldırganların birden fazla kampanyada kötü amaçlı alan adlarını yeniden kullanmasına izin verir.
Siber geçirmez rapora göre, bu SharePoint kimlik avı kampanyaları, etkinliklerini en üst düzeye çıkarmak için çok aşamalı bir yaklaşım kullanıyor ve genellikle hassasiyetlerinde mızrak akışına benziyor.
Saldırganlar saldırıyı, SharePoint bağlantıları içeren meşru e-postalarla başlatır ve kullanıcıları yalnızca amaçlanan alıcının e-postasının bir sonraki aşamayı açabileceği bir kimlik kontrol aşamasına yönlendirir.
Kimlik bilgilerini sağladıktan sonra, mağdurlar, meşruiyet yanılsamasını daha da güçlendiren otantik bir Microsoft doğrulama kodu alırlar.
Bu kod girildikten sonra, kullanıcıları hassas bilgileri toplamak için tasarlanmış SharePoint’te barındırılan sahte bir giriş sayfasına yönlendirir.
Gelişmiş mızrak-aktı taktikleri
Bu tür karmaşık yönlendirme zincirleri, Microsoft hizmetlerini taklit eden aldatıcı alanların kullanımı ile birleştiğinde, bu saldırıları güvenlik ekiplerinin standart URL analizi veya tıklama etkinliği izleme yoluyla tanımlamasını özellikle zorlaştırır.
Bazı durumlarda, özellikle Gönderenin alanında önceki iş ilişkileri mevcut olduğunda, gerçek ve kötü niyetli iletişim arasındaki satırları bulanıklaştırarak, kimlik avı e -postaları göndermek için uzlaştırılmış hesaplar kullanılır.
Arabaşlık sonrası, saldırganlar genellikle erişimi sürdürmek, kötü niyetli gelen kutusu kuralları oluşturmak ve hatta yüzlerce harici hesabı davet etmek için gizli çok faktörlü kimlik doğrulama (MFA) yöntemleri sunar ve saldırının bir kuruluş içindeki etkisini artırır.
Bu yükselen tehditle mücadele etmek için kuruluşların proaktif tespit ve yanıt stratejilerini benimsemeleri gerekir. Bilinmeyen SharePoint bağlantıları ile etkileşimleri takiben şüpheli oturum açma faaliyetlerini veya denetim günlüklerini analiz etmek, uzlaşmaların belirlenmesinde kritik bir ilk adımdır.
Doğrulama kodu makbuzu sırasında ana bilgisayar zaman çizelgelerini ve proxy günlüklerini araştırmak, genellikle Microsoft Lookalikes olarak gizlenen kötü amaçlı alanlara yönlendirmeyi ortaya çıkarabilir.
Hemen iyileştirme adımları, tehlikeye atılan kullanıcı şifrelerinin sıfırlanması, yetkisiz MFA eklemelerinin kaldırılması, kötü amaçlı URL’lerin engellenmesi ve kimlik avı e -postalarının ve ilişkili gelen kutusu kurallarının silinmesi yer alır.
Bununla birlikte, savunmanın temel taşı, kullanıcı eğitimi olarak kalır ve şüpheli SharePoint bağlantılarını tanımaya ve bildirmeleri için güçlendiren bu saldırıların başarı oranını önemli ölçüde azaltabilir.
Tehdit aktörleri taktiklerini geliştirmeye devam ettikçe, kimlik avı için SharePoint gibi güvenilir platformlardan yararlanmaya devam ettikçe, kuruluşlar bu aldatıcı kampanyaların ortaya koyduğu riskleri azaltmak için teknik güvenceleri bilgilendirilmiş kullanıcı davranışlarıyla birleştirmelidir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.