Tehdit aktörleri çıtayı yükseltiyor iş e-postası uzlaşması (BEC) kampanyaları, sosyal mühendisliği meşru, bulut tabanlı dosya barındırma hizmetleri daha ikna edici saldırılar oluşturmak; kampanyalar ortak güvenlik korumalarını atlıyor ve sonuçta kurumsal kullanıcıların kimliğini tehlikeye atıyor.
Microsoft, Nisan ayından bu yana, son iki yılda saldırganların meşru dosya paylaşım hizmetlerini silah olarak kullandığı kampanyalarda artış gördü. Dropbox, OneDriveveya SharePoint, Birçok kuruluşun iş gücü işbirliği için kullandığı Microsoft Tehdit İstihbaratı bu hafta uyardım.
Microsoft Tehdit İstihbaratı blog gönderisine göre, “Bu tür hizmetlerin yaygın kullanımı, onları, genellikle geleneksel güvenlik önlemleriyle tespit edilmekten kaçınarak, kötü amaçlı dosyalar ve bağlantılar sunmak için bu hizmetlerle ilişkili güven ve aşinalıktan yararlanan tehdit aktörleri için çekici hedefler haline getiriyor.” .
Saldırganlar, bir iş kullanıcısının ağındaki güvenilir tarafları hedef alan kampanyalarda kullanımlarını sosyal mühendislikle birleştiriyor ve tanıdık konuşma konularını temel alıyor. Tehdit aktörleri bu nedenle işletme hesapları için başarılı bir şekilde kimlik avı kimlik bilgileri elde ediyor ve bunları daha sonra finansal dolandırıcılık, veri hırsızlığı ve uç noktalara yanal hareket gibi daha fazla kötü amaçlı etkinlik gerçekleştirmek için kullanıyor.
Güvenilir bulut hizmetleri giderek zayıflayan bir kurumsal güvenlik bağlantısıdır. Gerçekten de çeşitli araştırmacılar, gelişmiş kalıcı tehdit (APT) grupları da dahil olmak üzere saldırganların, meşru dosya paylaşım hizmetlerini kullanarak, uzaktan erişim truva atları (RAT’lar) ve casus yazılımdiğer kötü niyetli etkinliklerin yanı sıra.
Tipik Bir BEC Saldırı Senaryosu
Microsoft’a göre, Yaygın bir saldırı senaryosu, kuruluş içindeki bir kullanıcının güvenliğinin ihlal edilmesiyle başlar. Tehdit aktörü daha sonra kurbanın kimlik bilgilerini, söz konusu kuruluşun hesabında bir dosya barındırmak için kullanır. dosya barındırma hizmeti ve bunu gerçek hedefle paylaşın: harici bir kuruluştaki, kurbanla güvenilir bağları olan kişiler.
Saldırganlar özellikle Dropbox kullanıyor. OneDrive, veya ortak algılama sistemlerinden kaçınmak ve kimlik bilgisi toplama etkinliği için bir başlangıç noktası sağlamak için sınırlı erişime veya salt görüntüleme kısıtlamalarına sahip SharePoint dosyaları. İlki, “alıcının dosya paylaşım hizmetinde oturum açmasını… veya bir bildirim hizmeti aracılığıyla alınan tek kullanımlık şifreyle (OTP) birlikte e-posta adresini girerek yeniden kimlik doğrulaması yapmasını gerektirir” ve alıcıyla bir güven ilişkisi kurar. içerik. Microsoft’a göre ikincisi, “indirme yeteneğini devre dışı bırakarak ve dolayısıyla dosyalar içindeki gömülü URL’lerin tespitini devre dışı bırakarak” e-posta patlatma sistemleriyle yapılan analizleri atlayabilir. “Bu teknikler, kısıtlanmış olduğundan, kötü niyetli bağlantı içeren numunenin patlatılmasını ve analizini neredeyse imkansız hale getiriyor.”
Saldırganlar, bu bypass’ı daha da garanti altına almak için, yalnızca hedeflenen alıcının dosyayı görüntülemesine izin vermek veya dosyayı yalnızca sınırlı bir süre için erişilebilir kılmak gibi başka teknikler de kullanır.
Microsoft’a göre “Meşru dosya barındırma hizmetlerinin bu şekilde kötüye kullanılması özellikle etkilidir çünkü alıcıların bilinen satıcılardan gelen e-postalara güvenme olasılıkları daha yüksektir.” Gerçekten de, Exchange Online gibi hizmetle birlikte kullanılan işbirliği ürünlerine ilişkin olarak kuruluş tarafından belirlenen politikalar yoluyla izin verilenler listelerine güvenilir satıcıların kullanıcıları eklenir, böylece kimlik avı saldırılarıyla bağlantılı e-postalar tespit edilmeden geçer.
Dosyalar barındırma hizmetinde paylaşıldıktan sonra hedeflenen iş kullanıcısı, dosyaya güvenli bir şekilde erişme bağlantısını içeren otomatik bir e-posta bildirimi alır. Bu, dosya paylaşım hizmetindeki etkinlik hakkında yasal bir bildirimdir; dolayısıyla e-posta, şüpheli bir iletiyi engellemiş olabilecek tüm korumaları atlar.
Ortadaki Düşman; Aşinalıktan Yararlanmak
Hedeflenen kullanıcı paylaşılan dosyaya eriştiğinde, kendisinden e-posta adresini ve ardından adresi girerek kimliğini doğrulaması istenir. [email protected][.]com, kullanıcının belgeyi görüntülemek için girebileceği tek seferlik bir şifre gönderir.
Microsoft’a göre bu belge genellikle kullanıcının “mesajı görüntülemesine” olanak tanıyan başka bir bağlantıyla birlikte bir önizleme görünümüne bürünüyor. Ancak aslında kullanıcıyı bir yere yönlendirir. ortadaki düşman (AiTM) kimlik avı sayfası Kullanıcıdan parolayı sağlaması ve çok faktörlü kimlik doğrulama (MFA) sorgulamasını tamamlaması istenir.
Microsoft’a göre, “Ele geçirilen token, tehdit aktörü tarafından ikinci aşama BEC saldırısını gerçekleştirmek ve kampanyaya devam etmek için kullanılabilir.”
Barındırılan dosyalar genellikle tanıdık bir konu olabilecek konuya yönelik cazibeler kullanır veya tehdit aktörünün, asıl kurbanın önceden ele geçirilmesi sayesinde erişebileceği kuruluşların çalışanları arasında yapılan mevcut bir konuşmaya dayalı tanıdık bağlamı kullanır. Örneğin, iki kuruluşun bir denetimle ilgili önceden etkileşimi varsa, Microsoft’a göre kötü amaçlı paylaşılan dosyalar “Denetim Raporu 2024” olarak adlandırılabilir.
Saldırganlar ayrıca, kullanıcıları kötü amaçlı dosyaları açmaya teşvik etmek için sıklıkla kullanılan psikolojik aciliyet taktiğinden de yararlanır ve insanların yemi yutmasını sağlamak için “Acil: Dikkat Gerekli” ve “Güvenlik Altında Parola Sıfırlama” gibi dosya adlarını kullanır.
Şüpheli Dosya Paylaşımını Algılama
Bu son derece gelişmiş özelliklerle BEC kampanyaları ne kullanıcıların ne de geleneksel e-posta güvenlik sistemlerinin algılamadığı yükselişteMicrosoft, işletmelerin kullanmasını önerir genişletilmiş algılama ve yanıt Meşru dosya paylaşım hizmetlerini kullanan BEC kampanyalarıyla ilgili şüpheli etkinlikleri sorgulamak için (XDR) sistemleri.
Bu tür sorgular, benzer sese sahip veya çeşitli kullanıcılarla paylaşılan aynı dosya adlarına sahip dosyaların tanımlanmasını içerebilir. Microsoft’a göre “Bunlar kampanyalar olarak gözlemlendiğinden, aynı dosyanın kuruluştaki birden fazla kullanıcıyla paylaşıldığını doğrulamak, tespit işlemini destekleyebilir.”
Savunmacılar ayrıca VPS veya VPN sağlayıcılarından yapılan oturum açma işlemleriyle veya uyumlu olmayan bir cihazdan yapılan başarılı oturum açma işlemleriyle ilgili kimlik odaklı sorguları “güvenliği ihlal edilmiş bir kullanıcı kimliğinin göstergesi olabilecek anormal oturum açma olaylarını tespit etmek ve araştırmak için” kullanabilir. gönderiye göre bir tehdit aktörü tarafından erişiliyor.