Microsoft Salı günü, kuruluşların bulut ortamlarını ihlal etmek ve e-postaları çalmak için tasarlanmış kötü amaçlı bir kampanyanın parçası olarak kötü amaçlı OAuth uygulamaları oluşturmak için kullanılan sahte Microsoft İş Ortağı Ağı (MPN) hesaplarını devre dışı bırakmak için adımlar attığını söyledi.
Teknoloji devi, “Bu dolandırıcı aktörler tarafından oluşturulan uygulamalar daha sonra, kullanıcıları hileli uygulamalara izin vermeleri için kandıran bir rıza kimlik avı kampanyasında kullanıldı” dedi. “Bu kimlik avı kampanyası, ağırlıklı olarak Birleşik Krallık ve İrlanda’da bulunan bir müşteri alt kümesini hedef aldı.”
İzin kimlik avı, kullanıcıların kötü amaçlı bulut uygulamalarına izin vermeleri için kandırıldığı ve daha sonra meşru bulut hizmetlerine ve hassas kullanıcı verilerine erişim elde etmek için silah haline getirilebilen bir sosyal mühendislik saldırısıdır.
Windows üreticisi, kampanyadan 15 Aralık 2022’de haberdar olduğunu söyledi. O zamandan beri, etkilenen müşterileri e-posta yoluyla uyardı ve şirket, tehdit aktörlerinin posta kutularına sızma iznini kötüye kullandığını belirtti.
Bunun da ötesinde Microsoft, Microsoft Bulut İş Ortağı Programı (eski adıyla MPN) ile ilişkili inceleme sürecini iyileştirmek ve gelecekte dolandırıcılık olasılığını en aza indirmek için ek güvenlik önlemleri uyguladığını söyledi.
Açıklama, tehdit aktörlerinin kuruluşların bulut ortamlarına sızmak için Microsoft’un “doğrulanmış yayıncı” statüsünden nasıl başarıyla yararlandığına dair Proofpoint tarafından yayınlanan bir raporla aynı zamana denk geliyor.
Kampanyanın dikkat çeken yanı, popüler markaları taklit ederek mavi onaylı rozeti kazanmak için Microsoft’u kandırmayı da başarmış olması. Şirket, “Aktör, Azure AD’de oluşturdukları OAuth uygulama kayıtlarına doğrulanmış bir yayıncı eklemek için sahte ortak hesapları kullandı” dedi.
İlk olarak 6 Aralık 2022’de gözlemlenen bu saldırılar, hedefleri kandırarak erişim yetkisi vermeleri ve veri hırsızlığını kolaylaştırması için Zoom gibi yasal uygulamaların benzer sürümlerini kullandı. Hedefler finans, pazarlama, yöneticiler ve üst düzey yöneticileri içeriyordu.
Proofpoint, kötü amaçlı OAuth uygulamalarının e-posta okuma, posta kutusu ayarlarını yapma ve dosyalara ve kullanıcının hesabına bağlı diğer verilere erişim elde etme gibi “geniş kapsamlı yetki verilmiş izinlere” sahip olduğunu kaydetti.
Ayrıca, Microsoft onaylı mevcut yayıncıların OAuth uygulama ayrıcalıklarından yararlanmalarını tehlikeye atan önceki bir kampanyanın aksine, en son saldırıların meşru yayıncıların kimliğine bürünerek doğrulanmak ve hileli uygulamaları dağıtmak için tasarlandığını söyledi.
Söz konusu uygulamalardan ikisinin adı “Single Sign-on (SSO)”, üçüncü uygulamanın adı ise video konferans yazılımı gibi görünmek amacıyla “Toplantı” olarak adlandırıldı. Üç farklı yayıncı tarafından oluşturulan üç uygulama da aynı şirketleri hedef aldı ve aynı saldırgan kontrollü altyapıdan yararlandı.
Kurumsal güvenlik firması, “Kuruluşlar üzerindeki potansiyel etki, güvenliği ihlal edilmiş kullanıcı hesaplarını, veri hırsızlığını, kimliğine bürünmüş kuruluşların marka kötüye kullanımını, iş e-postası gizliliği (BEC) dolandırıcılığını ve posta kutusunun kötüye kullanımını içerir” dedi.
Proofpoint’in 20 Aralık’ta saldırıyı Microsoft’a bildirmesi ve uygulamaların devre dışı bırakılmasının ardından kampanyanın 27 Aralık 2022’de sona erdiği söyleniyor.
Bulgular, Microsoft’un güvenlik korumalarını atlamak ve kullanıcıların kurumsal satıcılara ve hizmet sağlayıcılara duydukları güveni kötüye kullanmak bir yana, saldırıyı gerçekleştirmedeki karmaşıklığı gösteriyor.
Bu, sahte OAuth uygulamalarının Microsoft’un bulut hizmetlerini hedeflemek için ilk kez kullanılması değil. Ocak 2022’de Proofpoint, hesaplarının kontrolünü ele geçirmek için üst düzey yöneticileri hedefleyen OiVaVoii adlı başka bir tehdit etkinliğinin ayrıntılarını verdi.
Ardından Eylül 2022’de Microsoft, Exchange sunucularının kontrolünü ele geçirmek ve spam dağıtmak için güvenliği ihlal edilmiş bulut kiracılarına dağıtılan hileli OAuth uygulamalarını kullanan bir saldırıyı ortadan kaldırdığını açıkladı.