Dalış Özeti:
- En azından bir iş e-postası güvenliğinin ihlal edildiği kimlik avı kiti ele geçirildi 8.000 kurumsal Microsoft 365 hesabı Singapur merkezli siber güvenlik sağlayıcısı Group-IB Çarşamba günü yaptığı açıklamada, son 10 ay boyunca bu durumun gerçekleştiğini söyledi.
- Araştırmacılar, yönlendirme tabanlı bir karanlık web pazarı olan W3LL’nin, çok faktörlü kimlik doğrulamayı atlayan ve özellikle Microsoft 365 işletme hesaplarını hedef alan çok sayıda kimlik avı aracı ve özel kimlik avı kitleri sattığını söyledi. Mağazanın 500’den fazla aktif kullanıcısı var.
- Group-IB’ye göre, tehdit aktörleri kimlik avı araçlarını kullanarak geçen Ekim ayından Temmuz ayına kadar ABD, Avustralya ve Avrupa’da 56.000’den fazla kurumsal Microsoft 365 hesabını hedef aldı. Microsoft, yorum talebine yanıt verdi.
Dalış Bilgisi:
MFA’yı atlayan ve Microsoft 365 işletme hesaplarını hedef alan ve saldırı başına %14’lük bir başarı oranına sahip olan, kolayca bulunabilen bir kimlik avı kiti, tehdit aktörlerinin BEC kampanyalarını besleyen canlı siber suç pazarının altını çiziyor.
Raporda, W3LL Panel’in büyük bir silah olduğu ve “ortadaki rakip işlevselliği, API, kaynak kodu koruması ve diğer benzersiz yeteneklere sahip, sınıfının en gelişmiş kimlik avı kitlerinden biri” olduğu belirtildi.
Ortadaki düşman kimlik avı teknikleri yetenekleri çoğaltın ve geliştirin Microsoft Tehdit İstihbaratı, geçen hafta eski adıyla Twitter olarak bilinen platform X’te yayınlanan bir gönderide kimlik avının bir hizmet ekosistemi olarak ele alındığını söyledi.
“Bu gelişme, [phishing as a service] ekosistem Saldırganların yüksek hacimli kimlik avı kampanyaları yürütmesine olanak tanır Microsoft Tehdit İstihbaratı, X’teki başlıkta şunları söyledi: “Bu, MFA korumalarını geniş ölçekte aşma girişimidir.”
Group-IB’ye göre W3LL Panel kimlik avı kiti, tehdit aktörlerinin BEC saldırıları başlatmasına olanak tanıyan 16 ek ve tamamen entegre özel araçla birleştirilebilir.
Araştırmacılar, “W3LL araçlarını içeren kimlik avı kampanyaları son derece ikna edicidir ve genellikle BEC saldırılarının neredeyse tüm öldürme zincirini kapsayan, W3LL tarafından geliştirilmiş birkaç aracı içerir ve aynı zamanda yüksek düzeyde otomasyon ve ölçeklenebilirlik sağlar” dedi.
Araştırmacılar, tehdit aktörlerinin verileri çalmak, sahte faturalar göndermek, hesap sahiplerinin kimliğine bürünmek veya kötü amaçlı yazılım dağıtmak için ele geçirilen erişimi kullanabileceği konusunda uyardı.
Group-IB tarafından gözlemlenen BEC kampanyalarının hedeflediği kuruluşların yarısından fazlası ABD merkezlidir. Group-IB’e göre üretim, BT, finansal hizmetler, danışmanlık, sağlık hizmetleri ve hukuk hizmetleri alanındaki kuruluşlar en sık hedef alınan kuruluşlardır.
KnowBe4’ün güvenlik farkındalığı savunucusu Erich Kron, e-posta yoluyla şunları söyledi: “Sağlanan araçlar, her ne kadar faydalı olsa da, MFA’nın kimlik bilgileri hırsızlığı nedeniyle hesapların ele geçirilmesi söz konusu olduğunda sihirli bir değnek olmadığını bile gösteriyor.”
Kron, “MFA baypaslarının alt düzey siber suçlulara sunulan standart tarifenin bir parçası olması, savunmada teknolojinin sınırlı olduğunu gösteriyor” dedi.