Cisco Talos’tan araştırmacılar, “Büyüklük” adını verdikleri yeni ve çok gelişmiş bir hizmet olarak kimlik avı (PaaS) teklifini ortaya çıkardılar. Greatness, en azından 2022’nin ortasından beri faaliyette olan bir hizmettir. Çok faktörlü kimlik doğrulamadan (MFA), IP filtrelemeden ve Telegram botlarıyla etkileşimden kaçınmayı içerir. Şu anda, Microsoft 365 aracılığıyla kimlik avına odaklanıyor ve bu da onu dünyanın her yerindeki işletmeler için ciddi bir risk haline getiriyor. Greatness, müşterilerine, makul sahte oturum açma siteleri ve tuzaklar oluşturmalarına izin veren bir bağlantı ve ek oluşturucuya erişim sağlar. Kurbanların e-posta adreslerini önceden doldurabilir ve ilgili kurumsal logoları ve arka planları gösterebilir, bu da hedef alındıklarının farkında olmayan iş kullanıcılarına karşı daha etkili olmasını sağlar. Amerika Birleşik Devletleri, Büyük Britanya Birleşik Krallığı, Avustralya, Güney Afrika ve Kanada’daki şirketler, en sık hedef alınan imalat, sağlık ve teknoloji endüstrileri ile şimdiye kadar ana hedefler olmuştur. Greatness’in her kampanyada biraz bölgesel yoğunlaşmaya sahip olduğunu belirtmek ilginçtir; yine de, tüm hedeflere birlikte bakıldığında, yarısından fazlasının merkezi Amerika Birleşik Devletleri’ndedir.
Bağlı kuruluşlara Greatness tarafından deneyimsiz aktörlerin bile hizmetin daha karmaşık özelliklerinden yararlanmasını sağlayan bir API anahtarı içeren bir kimlik avı kiti verilir. Şirketin işleyişi bu şekildedir. Kimlik avı kiti ve API, Microsoft 365 kimlik doğrulama sisteminin kimliğine bürünmek ve bir “ortadaki adam” saldırısı yoluyla kurbanın kimlik bilgilerini çalmak için birlikte çalışır. Bu, kimlik doğrulama sistemine proxy olarak hizmet vererek gerçekleştirilir.
Saldırı birkaç aşamada gerçekleştirilir. İlk başta kurbanlara, paylaşılan bir belge gibi görünen bir HTML dosyası içeren kötü amaçlı bir e-posta gönderilir. Ek açıldığında, gizlenmiş JavaScript kodu yürütülür ve ardından saldırgan tarafından kontrol edilen sunucudan kimlik avı web sitesinin HTML kodunu alır. Bundan sonra, web sitesi kurbanı Microsoft 365 için makul bir oturum açma sayfasına götürür; bu sayfada kurbanın e-posta adresi, şirketin markalı arka planı ve logosu önceden doldurulmuştur.
Kurban parolasını girer girmez PaaS, Microsoft 365 ile bir bağlantı kurar ve burada kurban gibi davranır ve oturum açmaya çalışır. Hizmet için çok faktörlü kimlik doğrulama (MFA) etkinleştirilirse, kullanıcı MFA kullanarak kimlik doğrulaması istenir. MFA verildikten sonra kimliğe bürünme işlemine devam edecek, oturum açma prosedürünü tamamlayacak ve kimliği doğrulanmış oturum çerezlerini toplayacaktır. Bundan sonra, hangi yöntemi seçtiklerine bağlı olarak, bağlı kuruluşa Telegram kanalı aracılığıyla veya doğrudan web paneli aracılığıyla gönderilirler.
Kimlik avı kiti (bir yönetici paneli içerir), hizmet için uygulama programlama arabirimi (API) ve bir Telegram botu veya e-posta adresi, hizmeti oluşturan üç bileşendir. Kimlik avı kiti, saldırının her aşaması için HTML/JavaScript kodunu PaaS API’ye gönderir, kurbandan elde edilen kimlik bilgilerini PaaS API’ye iletir ve kurbanı teslim etmeyi bitirdiğinde kurbana hangi sayfayı göndermesi gerektiğine dair talimatlar alır. önceki sayfa. Ek olarak, kit, bağlı kuruluş için çalınan kimlik bilgilerini kaydeder ve bağlı kuruluşun Telegram kanalı bunları almak için etkinleştirildiyse, kimlik bilgilerini oraya gönderir.
Bağlı kuruluş, bir yönetim panelinin kullanılmasıyla çalınan kimlik bilgilerini izleyebilir ve hizmetin yanı sıra Telegram botu için API anahtarını yapılandırabilir. Ek olarak, saldırının kurbanlarına gönderilen potansiyel olarak zararlı dosyalar veya URL’ler oluşturur.
Özetlemek gerekirse, Greatness kimlik avı hizmeti tüm dünyadaki şirketler için yeni ve büyük bir risk oluşturuyor. Gelişmiş yetenekleri ve Microsoft 365 müşterileri için özel olarak tasarlanmış olması nedeniyle bilgisayar korsanlarının elinde güçlü bir silahtır. Şirketler bu yeni riskin farkında olma ve özel bilgilerinin gizliliğini korumak için kapsamlı önlemler alma sorumluluğuna sahiptir.
Şu anda risk altyapısı uzmanı ve araştırmacı olarak çalışan bilgi güvenliği uzmanı.
Risk ve kontrol süreci, güvenlik denetimi desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.