Tehdit aktörleri, kimlik avı kitlerini barındırmak için giderek daha fazla güvenilir bulut ve içerik dağıtım ağı platformlarını kullanıyor ve bu da güvenlik ekipleri için büyük tespit zorlukları yaratıyor.
Yeni kaydedilen şüpheli alanlara dayanan geleneksel kimlik avı kampanyalarının aksine, bu saldırılar Google, Microsoft Azure ve AWS CloudFront gibi sağlayıcıların meşru altyapısını kullanıyor.
Bu yaklaşım, alan adlarının ilk bakışta güvenilir görünmesi nedeniyle bilgisayar korsanlarının birçok güvenlik filtresini atlamasını sağlar.
Bulut tabanlı kimlik avı altyapısına geçiş, sosyal mühendislik saldırılarında endişe verici bir evrimi temsil ediyor.
Kurbanlar, tanınmış teknoloji şirketlerinin tanıdık alan adlarıyla karşılaşıyor ve bu da onların hassas kimlik bilgilerini girme olasılıklarını artırıyor.
Ağ izleme araçları da şüpheli trafik kalıpları yerine yerleşik bulut hizmetlerinden sıradan HTML içeriğinin yüklendiğini gördükleri için bu etkinlikleri işaretlemede zorluk çekiyor.
Bu teknik, kurumsal kimlik bilgilerine odaklanmak için ücretsiz e-posta hesaplarını filtreleyerek çeşitli kampanyalarda özellikle kurumsal kullanıcıları hedefler.
Any.Run araştırmacıları, birden fazla kimlik avı kiti ailesini analiz ederken bu büyüme modelini tespit etti. Analiz, Tycoon kimlik avı kitinin, özellikle alan adı alencure’u kullanarak Microsoft Azure Blob Depolamadan çalıştığını ortaya çıkardı.[.]damla[.]çekirdek[.]pencereler[.]açık.
Firebasestorage’daki Firebase Cloud Storage’da Sneaky2FA kimlik avı kiti bulundu[.]googleapis[.]com ve AWS CloudFront cloudfront’ta[.]net’te kurumsal hesap kimlik bilgilerini toplamak için sahte Microsoft 365 oturum açma sayfalarını kullanıyor.
EvilProxy kimlik avı kiti, sitelerde Google Sites’tan yararlanıyor[.]google[.]com’un kötü amaçlı sayfalarını barındırmasını sağlar.
Tespit ve Müdahale Zorlukları
Güvenlik ekipleri, bulutta barındırılan kimlik avı altyapısıyla uğraşırken benzersiz engellerle karşılaşır.
Geleneksel alan adı itibar kontrolleri başarısız oluyor çünkü barındırma platformları sayısız kuruluş tarafından geçerli amaçlarla kullanılan meşru hizmetlerdir.
Çoğu güvenlik sağlayıcısı bu bulut etki alanlarını güvenli olarak sınıflandırır ve bu da teknik açıdan doğrudur. Kötü amaçlı etkinlik altyapının kendisinde değil, sunulan içerikte mevcuttur.
Çözüm, basit etki alanı kontrollerinden ziyade davranışsal analiz gerektirir. Güvenlik platformlarının, kullanıcıların bulutta barındırılan bu sayfalarla nasıl etkileşim kurduğunu incelemesi ve şüpheli kalıpları gerçek zamanlı olarak belirlemesi gerekiyor.
Any.Run Sandbox, bu tehditleri 60 saniyenin altında bir sürede açığa çıkararak, hem ortalama tespit süresini hem de ortalama yanıt süresini kısaltarak bu yeteneği göstermektedir.
Kuruluşlar, özellikle Microsoft Azure Blob Storage, Firebase Cloud Storage ve Google Sites platformlarındaki kötüye kullanım kalıplarını araştıran tehdit istihbaratı aramaları uygulamalıdır.
İlgili uzlaşma göstergeleri arasında mphdvh bulunur[.]yoğun bakım, kamitore[.]com, aircosspascual[.]com ve Lustefea[.]Benim[.]İD.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
