Telekomünikasyon ve finans sektörlerini hedef alan karmaşık bir kimlik avı kampanyası, yakın zamanda EclecticIQ’daki siber güvenlik araştırmacıları tarafından Ekim 2024’ün sonlarında ortaya çıkarıldı.
Saldırganlar, kurbanları popüler bir web sitesi oluşturma hizmeti olan Weebly’de barındırılan sahte giriş sayfalarına yönlendiren kimlik avı bağlantıları sunmak için Google Dokümanlar’ı kullanarak kurnaz bir strateji uyguladılar.
Tehdit aktörleri, standart e-posta filtrelerini ve uç nokta korumalarını atlatmak için Google alanının güvenilir itibarından yararlandı.
Saldırganlar, Google Dokümanlar’a kötü amaçlı bağlantılar yerleştirerek, yaygın olarak kullanılan platformların doğasında olan güvenden yararlanarak kullanıcı etkileşimi olasılığını artırdı.
EclecticIQ’daki güvenlik analistleri, Weebly’nin meşru altyapısının bu kampanyada çok önemli bir rol oynadığını keşfetti: –
- Düşük maliyetli barındırma ve kullanım kolaylığı, onu finansal motivasyona sahip tehdit aktörleri için cazip hale getirdi
- Yerleşmiş itibarı, kimlik avı karşıtı tarayıcılardan kaçılmasına yardımcı oldu
- Saldırganlar, kendi kendine barındırılan sunucuların karmaşıklığından kaçınabilir
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Teknik Analiz
Kampanya, AT&T gibi belirli markaların ve çeşitli finans kuruluşlarının giriş portallarını taklit edecek şekilde titizlikle tasarlanmış kimlik avı sayfalarıyla yüksek düzeyde özelleştirme sergiledi.
.webp)
Kurbanların çalışma ortamlarıyla uyumlu arayüzlere güvenme olasılıkları daha yüksek olduğundan sektöre özel bu yaklaşım, kimlik avı tuzaklarının güvenilirliğini artırdı.
Aşağıda kampanyanın tüm temel özelliklerinden bahsettik: –
- Weeblysite alan adlarının kullanımı (ör. att-mail-102779)[.]weeblysite[.]com)
- Birden çok sektör için özelleştirilmiş kimlik avı sayfaları
- Sık URL rotasyonu için dinamik DNS altyapısı
- Hem EMEA hem de AMER bölgelerinin hedeflenmesi
.webp)
Başarı oranlarını artırmak için saldırganlar, meşru güvenlik adımlarını yakından kopyalayan sahte Çok Faktörlü Kimlik Doğrulama (MFA) istemleri uyguladı. Örneğin, güvenli1. erişim kodu[.]zayıf[.]com sayfası, kurbanlardan gerçek MFA iş akışlarını taklit eden bir “güvenli erişim kodu” girmelerini istedi.
Kimlik avı sayfaları, Snowplow Analytics ve Google Analytics gibi yasal izleme araçlarını içeriyordu. Bu araçlar, saldırganların kurban etkileşimini izlemesine, etkileşim verilerini toplamasına ve zaman içinde kimlik avı tekniklerini geliştirmesine olanak tanıdı.
Saldırganlar kimlik avının yanı sıra SIM değiştirme teknikleriyle telekom hesaplarını da hedef aldı. Telekom hesabı kimlik bilgilerini alarak SIM takaslarını başlatabilir, SMS tabanlı MFA kodlarını ve kurbanların hesaplarına bağlı diğer iletişimleri ele geçirebilirler.
Kimlik avı kitleri, hedeflenen markalar için meşru giriş sayfalarını yakından taklit eden HTML formlarını kullandı. Saldırganlar, tespit edilmekten kaçınmak için Weebly’nin hızlı dağıtım özelliklerinden ve alt alan adı rotasyonu için dinamik DNS’den yararlandı.
Bu tür karmaşık saldırılara karşı koymak için kuruluşların şunları uygulaması gerekir: –
- Bulutta paylaşılan belgeler için gelişmiş e-posta filtreleme
- Proaktif DNS izleme
- Zorunlu Çok Faktörlü Kimlik Doğrulama (MFA) ve kimlik bilgileri hijyeni
- Kimlik avı kiti yapaylıklarına yönelik algılama sistemleri
Uzmanlar, kuruluşların dikkatli olmaları ve güvenlik önlemlerini bu gelişmiş kimlik avı taktikleriyle mücadele edecek şekilde uyarlamaları konusunda çağrıda bulundu.
IoC’ler
.webp)
SOC/DFIR Ekiplerinden misiniz? – ANY.RUN ile Kötü Amaçlı Yazılımları ve Kimlik Avını Analiz Edin -> Ücretsiz Deneyin