Tehdit aktörlerinin, sürekli oturum toplama ve kimlik bilgisi girişimlerinin bir parçası olarak meşru dijital belge yayınlama (DDP) sitelerinde kimlik avı belgeleri barındırdıkları gözlemlenmiştir.
DDP sitelerinin web filtreleri tarafından engellenme olasılığı düşük olduğundan, iyi bir itibara sahip olduklarından ve ziyaretçilere güvenilir oldukları izlenimini verebildiklerinden, bu sitelerde kimlik avı tuzakları barındırmak, başarılı bir kimlik avı saldırısı şansını artırır.
“Dijital Belge Yayınlama siteleri”, kullanıcıların PDF dosyalarını tarayıcı tabanlı bir flipbook formatında yüklemesine ve paylaşmasına olanak tanıyan çevrimiçi platformlardır.
Kullanıcılar, dosyayı indirmeden sayfaları çevirerek PDF'nin tamamını okuyabilir ve bazı DDP web sitelerinde ek belge etkileşimi sağlayan işlevsellik bulunur.
Publuu, Marq, FlipSnack, Issuu, FlippingBook, RelayTo ve SimpleBooklet kampanyaya katılan birkaç DDP sitesidir.
Saldırganlar Devam Eden Kimlik Bilgisi ve Oturum Token Hırsızlığı İçin DDP Sitelerinden Yararlanıyor
Son zamanlarda, devam eden kimlik bilgisi ve oturum toplama girişimlerinin bir parçası olarak tehdit aktörleri, kimlik avı belgelerini Publuu ve Marq gibi meşru dijital belge yayınlama sitelerinde barındırıyor.
Publuu vakasında, “Yeni Belge” konulu kimlik avı e-postaları [third-party vendor]”, güvenilir bir üçüncü taraf satıcıya ait, güvenliği ihlal edilmiş bir e-posta hesabı kullanılarak hedeflenen şirketteki birkaç kişiye gönderildi. E-postanın gövdesinde Publuu flipbook'unu açan bir bağlantı vardı.
“Kimlik avı belgesi, diğer DDP sitelerine yapılan benzer saldırılarda gözlemlenen genel ve yaygın olarak kullanılan bir dosyaydı.
Ancak kimlik avı belgesi yeniden kullanılırken, saldırgan, belgeye özgünlük kazandırmak için Publuu sayfasını gönderen kuruluşun adıyla değiştirmişti”, diye Talos araştırmacıları Cyber Security News ile paylaştı.
Kullanıcı, “ONLINE PDF GÖRÜNTÜLE” bağlantısını tıkladıktan sonra Cloudflare CAPTCHA'sına yönlendirildi.
CAPTCHA'yı kullanmak muhtemelen iki amaca hizmet eder: Kimlik bilgisi toplama sayfasını otomatik erişimden korur ve kimlik avı bağlantısını tıklayan kullanıcılara gerçek bir web sitesi sunar.
“CAPTCHA'yı tamamladıktan sonra kurban, Microsoft 365 kimlik doğrulama sayfasının ikna edici bir kopyasına yönlendiriliyor. Araştırmacılar, sayfanın URL'sinin ziyaretçi için tanımlayıcı görevi görebilecek uzun bir alfanümerik dize içerdiğini söyledi.
Marq örneğinde, diğer DDP sitelerindeki bazı etkinlik kümelerinin aksine, her sayfa, üst düzey alan adını kullanan farklı bir URL ile ayarlandı. URL sorgu dizesi tkmilric, kimlik avı belgesine dahil edilen tüm URL'ler tarafından paylaşılan başka bir özellikti.
Bu özellikler büyük ihtimalle Microsoft 365 bileşenlerine yönelik oturum belirteçlerini toplamak için aynı cazibeyi ve özelleştirilmiş veya DGA tarafından oluşturulan etki alanlarını kullanan bir kampanyaya işaret ediyor.
Azaltmalar
- Yaygın DDP sitelerini sınır güvenlik cihazları, Cisco Güvenli Uç Nokta gibi uç nokta algılama ve yanıt (EDR), web içeriği filtreleme ve/veya DNS güvenlik kontrolleri aracılığıyla engelleyin.
- DDP siteleri için ortak URL'ler içeren e-postalardaki bağlantıları tanımak ve alıcıları bilgilendirmek için e-posta güvenlik ayarlarını yapın.
- Bilinen tehlikelerle ilişkili yeni kurulan web sitelerini anında tespit etmek için tehdit istihbaratından yararlanın.
- Şirketin iç ortamındaki davranış değişikliklerine dikkat edin.
- Kullanıcı güvenliği farkındalığı eğitimine DDP siteleri ve bulutta barındırılan diğer kimlik avı saldırı teknikleri hakkındaki bilgileri ekleyin.
Perimeter81 kötü amaçlı yazılım korumasıyla Truva atları, fidye yazılımları, casus yazılımlar, rootkit'ler, solucanlar ve sıfır gün saldırıları dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Hepsi inanılmaz derecede zararlıdır ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.