Guardz Research tarafından izlendiği gibi, sofistike ve son derece koordineli bir siber saldırı kampanyası ortaya çıktı.
Bu işlem, Microsoft Entra Kimliği’ndeki eski kimlik doğrulama protokollerini sıfırladı, çok faktörlü kimlik doğrulama (MFA) ve koşullu erişim gibi modern güvenlik önlemlerini ortadan kaldırmak için modası geçmiş yöntemlerden yararlandı.
Bu saldırının merkezinde, saldırganların doğrudan erişim jetonları için kullanıcı adlarını ve şifreleri değiştirerek etkileşimli kimlik doğrulama zorluklarını atlamasına izin veren kullanımdan kaldırılmış bir giriş akışı olan BAV2ROPC (temel kimlik doğrulama sürüm 2, kaynak sahibi şifre kimlik bilgisi) vardı.
.png
)
MFA istemlerini veya kullanıcı etkileşimini tetiklemeden, bu protokol etkili bir şekilde gizli bir arka kapı olarak hareket eder, aksi takdirde güvenli ortamlara dönüştürülür, bu da onu kötü amaçlı aktörler için tercih edilen bir vektör haline getirir.
Hedeflenen kampanya otomatik saldırıları serbest bırakıyor
Kampanyanın başarısı, modern protokollerin sağlam güvenlik özelliklerinden yoksun olan BAV2ROPC, SMTP Auth, POP3 ve IMAP4 gibi eski kimlik doğrulama yöntemlerinin sürekli kullanımına dayanıyordu.
Microsoft’un bu yöntemleri kullanımdan kaldırma çabalarına rağmen, birçok kuruluş modası geçmiş sistemler veya iş sürekliliği ihtiyaçları nedeniyle bunlara güvenmeye devam ediyor ve ortamlarını savunmasız bırakıyor.
Guardz Research, saldırganların kimlik sistemlerinin karmaşık bir anlayışını gösterdiğini, otomatik kimlik bilgisi püskürtme ve kaba kuvvet saldırıları başlattığını gözlemledi ve öncelikle Doğu Avrupa ve Asya-Pasifik bölgesinden kaynaklanan düzinelerce benzersiz IP adresinden oluşan bir ağda.
Stratejileri metodikti, 18 ve 20 Mart arasındaki ilk düşük hacimli problamadan, 21 Mart-3 Nisan tarihleri arasında günlük saldırılara kadar gelişti ve 4-7 Nisan tarihleri arasında 5 Nisan’da 8.534 oturum açma girişiminin dramatik bir artışıyla sonuçlandı.
Bu işlemin ölçeğinin ve hassasiyetinin altını çizerek kısa bir süre içinde 9.000’den fazla şüpheli değişim giriş denemesi kaydedildi.
Eski Protokoller: Kalıcı bir güvenlik açığı
Saldırganlar özellikle Exchange Online ve Microsoft Kimlik Doğrulama Kütüphanesi gibi eski uç noktaları hedef aldı ve çabalarının yüzde 90’ından fazlası bu kritik sistemlere odaklandı.
Taktikleri, OAuth eski akışlarından (12.221 deneme) yararlanma, şifre kimlik doğrulaması (28.150 deneme), temel kimlik doğrulama (27.332 deneme) ve eski değişim protokollerini (21.080 deneme) içeriyordu.
Yönetici hesapları özellikle yoğun bir incelemeyle karşılaştı ve bir alt küme, sadece sekiz saat içinde 432 farklı IP’den yaklaşık 10.000 giriş denemesine dayanarak kampanyanın arkasındaki otomasyonu ve kararlılığı vurguladı.
Bu hesaplanan grevler sadece erişim elde etmekle kalmayıp, daha fazla yükseliş için e -posta verilerini, kimlikleri ve oturum jetonlarını hasat etmeyi amaçladı.
IP rotasyonunun ve dağıtılmış altyapının kullanımı, yüksek değerli hedefleri ihlal etmek için iyi bir çaba göstererek karmaşık bir tespiti daha da karmaşık hale getirdi.
Guardz Research, bu kampanya sırasında gözlemlenen tek etkili savunmanın, eski kimlik doğrulamasını tamamen devre dışı bırakan sağlam bir konfigürasyon olduğunu vurgulamaktadır.
Saldırganlar, bu gözden kaçan güvenlik açıklarından endişe verici verimlilikten yararlanmaya devam ettikçe, bu eski protokollere hala izin veren kuruluşlar olarak kalıyorlar.
Bu olay, kimlik doğrulama çerçevelerini modernize etme ve giderek daha sofistike siber tehditlere karşı korunmak için eski bağımlılıkları ortadan kaldırma ihtiyacının kesin bir hatırlatıcısı olarak hizmet ediyor.
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir