Palo Alto Networks’ün Unit 42 araştırmacılarına göre, Avrupalı şirketlerin Microsoft Azure bulut altyapısını devralmak isteyen bir tehdit aktörü, farklı firmalardaki birden fazla kurbanın hesaplarını başarıyla ele geçirdi.
Kimlik avı kampanyası
Saldırı bu yılın başlarında, otomotiv, kimya ve endüstriyel bileşik imalat sektörlerinde faaliyet gösteren Avrupalı (Alman ve Birleşik Krallık dahil) şirketlerde yaklaşık 20.000 kullanıcının aldığı kimlik avı e-postalarıyla başladı. Kampanya Haziran 2024’te zirveye ulaştı.
E-postalar, bir belgeyi incelemek ve imzalamak için bir DocuSign isteği gibi görünecek şekilde tasarlandı ve ekte DocuSign özellikli bir PDF dosyası veya gömülü bir HTML bağlantısı içeriyordu.
Her ikisi de kurbanları kötü amaçlı HubSpot Free Form Builder bağlantılarına ve aşağıdaki forma yönlendirdi:
Kimlik avı OWA sayfasına işaret eden Serbest Form (Kaynak: PAN Birim 42)
Araştırmacılar en az 17 çalışan Serbest Form tespit etti. “Belgeyi Microsoft Güvenli Bulutta Görüntüle” düğmesinin tıklatılması, potansiyel kurbanları, hedef kurban kuruluşun adını kullanan URL’lerin bulunduğu, tehdit aktörleri tarafından kontrol edilen farklı etki alanlarındaki sahte bir Microsoft Outlook Web Uygulaması (OWA) oturum açma sayfasına yönlendirdi.
Girilen tüm oturum açma kimlik bilgileri tehdit aktörü tarafından toplandı.
Hesap ele geçirme girişimleri
“Serbest Form penceresindeki ifade (…), kimlik avı kampanyasının Microsoft hesaplarını da hedef aldığını gösteriyor. Birim 42 araştırmacıları, kimlik avı kampanyasının kurbanın Microsoft Azure bulut altyapısına bağlanmak için birkaç girişimde bulunduğunu doğruladık.
Kurbanlardan toplanan telemetriyi analiz ederek, tehdit aktörünün birden çok hedefli kimlik avı operasyonu için ve hesap ele geçirme operasyonu sırasında güvenliği ihlal edilmiş Microsoft Azure kiracılarına erişim için aynı barındırma altyapısını kullandığını keşfettiler.
“[This] araştırmacılar, tehdit aktörünün, paylaşılan bir ‘barındırma’ hizmeti kiralamak veya bu hizmete abone olmak yerine, barındırılan sunucuya sahip olduğunu öne sürüyor” dedi.
Güvenliği ihlal edilmiş kimlik bilgileriyle donanmış olan saldırgan, kurban kuruluşla aynı ülkeden giriş yapma girişimlerini simüle etmek için ara sıra VPN proxy’leri kullandı. Ayrıca, hesaba kalıcı erişim sağlamak amacıyla hesap ele geçirme sırasında kurbanların hesabına yeni bir cihaz eklediler ve parola sıfırlama işlemlerini başlattılar.