Sofistike bir Hizmet Olarak Kimlik Yardımı Operasyonu Google ve Microsoft hesaplarını hedefliyor ve çok faktörlü kimlik doğrulaması dahil geleneksel savunma mekanizmalarını, araştırmacıları atlayabilir. OKTA Tehdit İstihbaratı bir blog yazısında uyardı Perşembe günü,
Voidproxy olarak adlandırılan kimlik avı işlemi, normal kimlik doğrulama akışını atlamak için ortada düşman teknikleri kullanır.
OKTA araştırmacılarına göre, araştırmacılar ilk olarak operasyonla bağlantılı saldırıları öğrendiler, ancak voidproxy için karanlık web reklamları Ağustos 2024 gibi başlamış gibi görünüyor. Saldırılar devam ediyor ve Okta değerli hesapları hedeflediklerini söyledi.
Okta araştırmacıları, siber güvenlik dalışına e -posta yoluyla “Birden fazla varlıkta yüksek güven hesap devralmaları gözlemledik” dedi. “Uzatma gereği, Microsoft ve Google’ın, VoidProxy Proxy’lerin Federasyon Olmayan Kullanıcıları doğrudan Microsoft ve Google sunucuları ile göz önüne alındığında, daha fazla sayıda ATO etkinliği gözlemlemesini bekliyoruz.”
OKTA’ya göre, voidproxy hizmeti oturum belirteçlerini, MFA kodlarını ve kimlik bilgilerini yakalar ve SMS kodlarını veya kimlik doğrulama uygulamalarında kullanılan bir kerelik şifreleri kullanan MFA yöntemlerini atlayabilir.
Bir saldırının ilk aşamalarında, sürekli temas, aktif kampanya, ziyaretçilere ve diğerlerini bilgilendiren meşru e -posta servis sağlayıcılarını kullanan uzlaşmış hesaplardan kimlik avı yemleri gönderilir. Okta’ya göre, hesapların itibarından yararlanarak spam filtrelerden kaçınılabilir.
Saldırganlar, iş e-posta uzlaşması da dahil olmak üzere takip saldırıları yapmak için böyle bir operasyondan yararlanabilir; Sistemler içinde yanal olarak hareket edin; Hedeflenen varlıklardan verileri pespiltratlayın; ve Okta’ya göre başka etkinlikler yürütmek.
Bazı durumlardaki saldırılar, satıcının şifresiz kimlik doğrulama hizmeti olan Okta Fastpass tarafından kötü niyetli etkinliği işaretleyen engellendi. Okta’ya göre, kimlik avlamaya dayanıklı kimlik doğrulayıcılara sahip kullanıcılar ne kimlik bilgilerini paylaşıyor ne de voidproxy altyapısını kullanamazlar.
OKTA araştırmacıları, Microsoft ve Google’a bulguları bildirdiklerini doğruladı ve ayrıca SaaS ortaklarıyla bilgi paylaştı ve Okta müşterilerini Pazartesi günü kimlik avı operasyonu hakkında uyardı.
Araştırmacılar, operasyonun yapısının, bir tehdit aktörünün hedefli bir kuruluşa karşı kendi kimlik avı operasyonunu başlatması için gereken teknik engeli etkili bir şekilde düşürdüğünü söyledi.
Bir Google sözcüsü Cybersecurity Dive’a verdiği demeçte, “Bu pop -up gibi düzenli olarak yeni kimlik avı kampanyaları görüyoruz, bu yüzden kullanıcıları bu tür saldırılardan korumak için dayanıklı korumalar tasarlıyoruz” dedi.
Sözcüye göre, önlemler alan taklitlerine karşı koruma, kimlik avı bağlantıları ve tehlikeye atılmış gönderenler arasında.
Google, OKTA raporunda kullanıcıların Passkeys’i kimlik avına karşı korumak için güçlü bir yöntem olarak benimsemeleri gerektiğine dair önerileri kabul ediyor.
Microsoft yorum yapmayı reddetti, ancak bir sözcü Bir bağlantı sağladı Genel hafifletme rehberliği ile.