Volexity’deki güvenlik araştırmacıları, cihaz kodu kimlik doğrulama sömürüsü yoluyla Microsoft 365 hesaplarını hedefleyen sofistike sosyal mühendislik ve mızrak aktı kampanyaları yürüten birden fazla Rus tehdit aktörünü ortaya çıkardılar.
Ocak ayı ortasından bu yana gözlenen saldırılar üç ayrı grup içeriyor: “Cozylarch (APT29),“ UTA0304 ”ve“ UTA0307 ”.
Tehdit oyuncusu, ABD Dışişleri Bakanlığı, Ukrayna Savunma Bakanlığı ve Avrupa Parlamentosu gibi kuruluşlardan yetkilileri kurbanları Microsoft’un Cihaz Kodu iş akışı yoluyla doğrulamaya teşvik etmek için taklit ediyor.
Volexity’deki güvenlik analistleri, tipik olarak IoT cihazları ve akıllı TV’ler için kullanılan bu meşru özelliğin M365 hesaplarına yetkisiz erişim elde etmek için silahlandırıldığını tespit ederken.
Saldırı zinciri
Saldırı, kurbanları meşru Microsoft URL’lerine yönlendirerek çalışıyor:-
- https://login.microsoftonline.com/common/oauth2/deviceauth
- https://www.microsoft.com/devicelogin
- https://aka.ms/devicelogin
Başarılı olduğunda, kimlik doğrulama bu ayırt edici belirteçlerle Entra ID günlüklerinde görünür:-
"authenticationProtocol": "deviceCode"
"originalTransferMethod": "deviceCodeFlow"Saldırganlar, UTA0307 ile özellikle Microsoft Teams’i kullanan çeşitli müşteri kimliklerini kullanır:
"appDisplayName": "Microsoft Teams",
"appId": "1fec8e78-bce4-4aaf-ab1b-5451cc387264".webp)
Dikkate değer bir kampanyada, UTA0304 özel bir öğe sunucusu kullandı (Sen-Comms[.]com) 15 dakikalık geçerlilik penceresinde cihaz kodunu girmelerini sağlayarak mağdurlarla gerçek zamanlı iletişimi koordine etmek.
Saldırganlar daha sonra güvenliği ihlal edilmiş hesaplara erişmek için VPS, TOR ve Mullvad VPN çıkış düğümlerini kullandılar.
.webp)
Kuruluşlar, cihaz kodu kimlik doğrulamasını engellemek için şartlı erişim politikaları uygulayarak kendilerini koruyabilir.
Oturum açma günlüklerinde DeviceCode Kimlik Doğrulama Protokolü için izleme, algılama için çok önemlidir. Kampanyalar, geleneksel kimlik avı yöntemlerinin başarı oranlarını aşarak son derece etkili olduğunu kanıtladı.
Bu kısmen saldırılar meşru Microsoft altyapısından yararlanarak geleneksel güvenlik önlemleri ile tespit edilmelerini zorlaştırıyor.
Kuruluşlara cihaz kodu kimlik doğrulama kullanımlarını değerlendirmeleri ve uygun izleme ve engelleme önlemlerini uygulamaları tavsiye edilir.
İş akışı tipik kimlik avı girişimlerinden önemli ölçüde farklı olduğundan, kullanıcı farkındalık eğitimi bu saldırı vektörünü içerecek şekilde güncellenmelidir.
IOC
UTA0304 ile ilişkili anahtar alanlar şunları içerir:-
- sen[.]com (107.189.27.41)
- AFPI-SEC[.]com (144.172.113.77)
- Chromeelevationservice[.]com (167.88.162.72)
- komşu[.]com (107.189.26.199)
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free