Yapay zeka destekli lider tehdit tespit şirketi Darktrace, Ocak 2024'te müşterilerinden birini hedef alan karmaşık bir kimlik avı girişimi tespit etti. Saldırı, meşru bulut hizmeti Dropbox'tan yararlandı.
Saldırı Algoritması
Saldırganlar meşru bir e-posta adresi kullandı: “yanıt yok@dropbox”[.]Dropbox'ın otomatik bildirimler için yaygın olarak kullandığı com”.
E-posta içeriği meşru görünecek şekilde tasarlandı. Büyük olasılıkla, alıcının ortağı veya meslektaşı tarafından paylaşıldığı iddia edilen bir PDF belgesine bir bağlantı içeriyordu.
PDF'deki gömülü bağlantıya tıklamak, kullanıcıyı potansiyel olarak meşru bir giriş sayfası olarak gizlenen kötü amaçlı bir web sitesine yönlendiriyordu.
Saldırı Dağılımı
29 Ocak 2024'te kullanıcı, Dropbox'tan, 25 Ocak 2024'te gönderilen, daha önce paylaşılan bir PDF'yi açmasını hatırlatan, görünüşte meşru bir e-posta aldı.
- Darktrace/Email, e-postayı şüpheli olarak tanımladı ve önemsiz klasörüne taşıyarak kullanıcının PDF içindeki potansiyel olarak kötü amaçlı bir bağlantıya tıklamasını engelledi.
Darktrace/Email ve Darktrace/Apps, şüpheli e-postayı analiz ederek başarıyla tanımladı
- Anormal Davranış: E-posta, meşru bir adresten gelmesine rağmen bilinmeyen bir kuruluştan gönderilmişti ve müşterinin olağan e-posta iletişim kalıplarına uymuyordu.
- Bağlantı Analizi: Darktrace muhtemelen PDF içindeki gömülü bağlantıyı analiz etti ve bunun müşterinin ağında daha önce karşılaşılmayan şüpheli bir alana yönlendirildiğini belirledi.
Darktrace'in müdahalesine rağmen kullanıcı şüpheli e-postayı açtı ve PDF'ye erişti.
31 Ocak 2024'te Darktrace, ele geçirilen Microsoft 365 hesabında bir dizi şüpheli oturum açma işlemi gözlemledi:
- Daha önce hiç kullanılmamış alışılmadık konumlardan oturum açma.
- VPN hizmetleriyle (ExpressVPN, HideMyAss) ilişkili IP adreslerinden kaynaklanan oturum açma işlemleri.
- İlginç bir şekilde saldırganlar geçerli MFA tokenleri kullandılar ve bu da müşterinin MFA politikasını (potansiyel olarak kullanıcı hatası nedeniyle) atladıklarını öne sürdü.
Saldırganlar, ele geçirilen hesapta, e-postaları otomatik olarak kuruluşun hesap ekibinden daha az izlenen bir klasöre taşımak için yeni bir e-posta kuralı oluşturdu.
Saldırganlar, “Yanlış sözleşme” ve “Acil İnceleme Gerekiyor” gibi aciliyet uyandıran konu satırları kullanarak meşru hesap sahibini taklit eden e-postalar gönderdiler.
Bu taktikler, alıcıları daha fazla işlem yapmaları için kandırmayı ve potansiyel olarak ek hesapların tehlikeye atılmasını amaçlıyordu.
“Saldırı sırasında RESPOND otonom yanıt modunda etkinleştirilmiş olsaydı, şüpheli aktör alışılmadık bir konumdan SaaS ortamına giriş yapar yapmaz hızlı bir şekilde oturumu kapatabilir ve devre dışı bırakabilirdi; bu da hesabın ele geçirilmesini etkili bir şekilde durdururdu. İlk fırsatta deneyin.” Yazan: Ryan Traill, tehdit içeriği lideri.
Perimeter81 kötü amaçlı yazılım korumasıyla Truva atları, fidye yazılımları, casus yazılımlar, rootkit'ler, solucanlar ve sıfır gün saldırıları dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Hepsi inanılmaz derecede zararlıdır ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.