Microsoft Defender araştırmacıları, geleneksel e-posta güvenlik kontrollerini atlamak ve birden fazla kullanıcı hesabını tehlikeye atmak için SharePoint dosya paylaşım hizmetlerinden yararlanan, enerji sektörü kuruluşlarını hedef alan karmaşık bir ortadaki rakip (AiTM) kimlik avı kampanyasını açığa çıkardı.
İlk Erişim için SharePoint’in Kötüye Kullanımı
Saldırı, güvenliği ihlal edilmiş güvenilir bir satıcının e-posta adresinden gönderilen ve yasal belge paylaşım iş akışlarını taklit eden SharePoint URL’lerini içeren bir kimlik avı e-postasıyla başladı.
Saldırganlar, standart e-posta algılama mekanizmalarından kaçan kötü amaçlı yükler sağlamak için SharePoint’in kurumsal güvenilirliğinden yararlandı.
Kurbanlar kimliklerini doğrulayıp SharePoint bağlantısını tıkladıklarında, oturum açma kimlik bilgilerini ve oturum çerezlerini çalmak üzere tasarlanmış bir kimlik bilgisi toplama sayfasına yönlendirildiler.
Başarılı kimlik bilgisi hırsızlığının ardından, saldırganlar farklı IP adreslerinden oturum açtılar ve hemen tüm gelen e-postaları silmek ve okundu olarak işaretlemek üzere yapılandırılmış kötü amaçlı gelen kutusu kuralları oluşturdular.
Saldırganlar büyük ölçekli bir kimlik avı kampanyası başlatırken, bu taktik kurbanların devam eden tehlikeden habersiz kalmasını sağladı ve son e-posta dizilerinden tespit edilen kurbanın dahili ve harici bağlantılarına 600’den fazla kötü amaçlı e-posta gönderdi.
Saldırganların kurbanların posta kutularını izlemesi, teslim edilmeyen mesajları ve ofis dışı yanıtlarını Arşiv klasöründen silmesiyle kampanya, iş e-postası ihlali (BEC) operasyonlarına dönüştü.
Alıcılar kimlik avı e-postalarının gerçekliğini sorguladığında, saldırganlar tüm kanıtları silmeden önce mesajları sahte bir şekilde meşrulaştırmak için doğrudan ele geçirilen hesaplardan yanıt verdi.
Kuruluş içindeki kimlik avı URL’lerine tıklayan alıcılar, ikincil AiTM saldırılarının hedefi haline geldi.
Microsoft Defender Uzmanları, açılış sayfası IP adreslerini ve oturum açma modellerini analiz ederek güvenliği ihlal edilen tüm kullanıcıları belirledi ve birden çok kuruluşta saldırının tüm kapsamını ortaya çıkardı.
Microsoft, parola sıfırlamanın tek başına AiTM saldırılarını iyileştiremeyeceğini vurguluyor. Kuruluşlar etkin oturum çerezlerini iptal etmeli, saldırgan tarafından oluşturulan gelen kutusu kurallarını silmeli ve tehdit aktörleri tarafından yapılan tüm MFA ayarı değişikliklerini tersine çevirmelidir.
Saldırganlar genellikle ek MFA yöntemlerini kaydederek kalıcılık sağlar ve parola değişikliklerinden sonra bile erişimin devam etmesine olanak tanır.
Uzlaşma Göstergeleri:
Attacker infrastructure IPs: 178.130.46.8, 193.36.221.10Enerji sektörü kuruluşları, gelen kutusu kurallarını derhal denetlemeli, anormal IP adresleri için son oturum açma etkinliğini incelemeli ve oturum ele geçirme saldırılarına karşı savunma sağlamak için MFA’nın risk tabanlı koşullu erişim politikalarıyla tamamlanmasını sağlamalıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.