Office 365 ve Outlook kimlik bilgilerini hasat etmek için tasarlanmış sahte Microsoft OneNote giriş istemleri aracılığıyla İtalyan ve ABD kullanıcılarını hedefleyen gelişmiş bir kimlik avı kampanyası.
Saldırı, veri açığa çıkması için meşru bulut hizmetlerinden ve telgraf botlarından yararlanarak tespiti geleneksel güvenlik önlemleri için önemli ölçüde daha zor hale getiriyor.
Kimlik avı kampanyası İtalyan kullanıcıları hedefliyor
Kimlik avı operasyonu, nosyon çalışma alanları, aksaklık alanları, Google dokümanları ve renderforest hizmetleri de dahil olmak üzere güvenilir platformlarda kötü niyetli sayfalar barındıran saldırganlarla başlar.
.png
)
Mağdurlar, “sizinle paylaşılan yeni belge” gibi konu satırlarıyla e -postalar alır ve onları meşru görünen sahte sayfalara yönlendirir.
Kötü amaçlı sayfalar, Office365, Outlook, Rackspace, Aruba Mail, PEC ve diğer e -posta hizmetleri dahil olmak üzere birden fazla kimlik doğrulama seçeneği sunar.
Herhangi bir kutulayın.
Run raporuna göre, kampanya özellikle İtalyanca kelimeler içeren İtalyan ve alt alan adlarında yazılmış kimlik avı içeriği ile İtalyan kullanıcıları ve kuruluşları hedefliyor.
Saldırı, en az Ocak 2022’den beri aktif ve zaman içinde kayda değer bir kalıcılık ve evrim gösteriyor.
Kimlik avı sayfaları, mağdur kimlik bilgilerini ve IP adreslerini yakalamak için sofistike JavaScript kodu kullanır. Kötü amaçlı yazılım, aşağıdaki kod uygulaması aracılığıyla kurbanların IP adreslerini almak için ipify.org hizmetini kullanır:
Kimlik bilgisi koleksiyonundan sonra, çalınan veriler, sert kodlanmış bot jetonları ve doğrudan kimlik komut dosyasına gömülü sohbet kimlikleri kullanılarak telgraf botları aracılığıyla açıklanır. Eksfiltrasyon mekanizması, Telegram’ın API uç noktasına istekler oluşturur:
Araştırmacılar, kampanyanın zaman çizelgesi boyunca “Sultandan” (@sultannanewbot), “remaxx24” (@remaxx24bot) ve “sonuç” (@ResultantNewbot) adlı botlar dahil olmak üzere birden fazla bot yapılandırması belirlediler.
Saldırı, kurbanları kimlik hırsızlığından sonra Microsoft OneNote oturum açma sayfalarına yeniden yönlendirerek ısrar ediyor ve meşruiyet yanılsaması yaratıyor.
Kaçma teknikleri ve evrim
Kampanya, operasyonel ömrü boyunca önemli teknik evrim göstermektedir. Erken varyantlar, Veri Defiltrasyonu için Gizliliği Kodlama ve Web Formu Gönderimleri kullandı.
Şubat 2022’den itibaren saldırganlar, yuvalanmış URL kodlaması (2-4 seviye derinliğinde) ile Telegram bot tabanlı eksfiltrasyona geçti.
Temmuz ve Aralık 2024 yılları arasında, tehdit aktörleri Base64 şaşkınlığını denedi, ancak daha sonra bu tekniği bilinmeyen nedenlerle terk etti.
Saldırganlar kasten, sınırlı teknik uzmanlık veya yük geliştirme yerine erişim aracılığına stratejik odaklanmayı öneren sofistike kaçırma yöntemlerinden kaçınırlar.
Güvenlik uzmanları, şüpheli Telegram API iletişimi için ağ trafiğini izlemenizi önerir, özellikle belirlenen bot jetonlarını içeren API.telegram.org adresine istekler.
Kuruluşlar, “Notion → Glitch → Telegram API” yapısını takiben alan zincirleri için davranışsal örüntü tespiti uygulamalı ve kurumsal ağlarda yetkisiz telgraf bot etkinliğini tanımlayan imzaya dayalı kurallar oluşturmalıdır.
Kampanyanın İtalya’nın ulusal sertifikalı e -posta sistemi olan PEC (Posta Eleettronica sertifikası) hedeflemesi, siber suçlu ekosistemler içindeki iş e -posta uzlaşması ve erişim aracı işçiliğine basit kimlik gerçeği hırsızlığının ötesine uzanan potansiyel hedefleri gösteriyor.
SOC’nizi yükseltmek için 4 gün kaldı. Daha hızlı tehdit tespiti için sanal alan lisansları alın