Saldırganlar, güvenliği ihlal edilmiş Microsft 365 kiracılarından gelen Microsoft Teams sohbetlerini kimlik bilgisi hırsızlığı kimlik avı yemleri olarak kullanıyor
Rusya Dış İstihbarat Servisi (SVR) ile bağlantılı olduğuna inanılan saldırganlar, Microsoft Teams sohbetlerini kimlik bilgisi hırsızlığı kimlik avı yemleri olarak kullanıyor. Microsoft Tehdit İstihbaratı, 40’tan az benzersiz küresel kuruluşu hedef alan algılanan saldırılarla ilgili ayrıntıları yayınladı. Hedeflenen kuruluşlar çoğunlukla devlet, sivil toplum kuruluşları (STK’lar), BT hizmetleri, teknoloji, ayrık üretim ve medya sektörleri arasında bulunur.
Microsoft’a göre saldırganlar, SolarWinds, Sunburst arka kapısı, TEARDROP kötü amaçlı yazılımı, GoldMax kötü amaçlı yazılımı ve diğer ilgili bileşenlere yönelik saldırıların arkasındaki grubun parçası. Malwarebytes, bu grubu APT29/Cozy Bear olarak izler. Yeni taktikler, teknikler ve prosedürler (TTP’ler) bulmak ve uygulamakla tanınan bir grup.
Kimlik avı saldırılarında grup, teknik destek hesaplarına benzeyen yeni etki alanları oluşturmak için daha önce güvenliği ihlal edilmiş ve çoğunlukla küçük işletmelere ait olan Microsoft 365 örneklerinden yararlanır. Bu örneklerden grup, Teams mesajları aracılığıyla ulaşır ve hedefleri, saldırgan tarafından başlatılan çok faktörlü kimlik doğrulama (MFA) istemlerini onaylamaya ikna eder.
Güvenliği ihlal edilen örnekler yeniden adlandırılır ve yeni bir onmicrosoft.com alt etki alanı oluşturmak için kullanılır. Onmicrosoft.com etki alanları, Microsoft 365 tarafından özel bir etki alanının oluşturulmaması durumunda geri dönüş amacıyla otomatik olarak kullanılan meşru Microsoft etki alanlarıdır.
Saldırganlar, yem olarak gönderilen teknik destek temalı mesajlara inanılırlık kazandırmak için genellikle bu alt alan adlarında güvenlik terimleri veya ürüne özel adlar kullanır.
örnek görüntü Microsoft’un izniyle
Amaç, hesaplarında yapılandırılmış şifresiz kimlik doğrulaması olan veya daha önce kimlik bilgilerini aldıkları hesapları olan kullanıcıları hedeflemektir. Her iki durumda da, kullanıcının mobil cihazındaki Microsoft Authenticator uygulamasındaki istemde kimlik doğrulama akışı sırasında görüntülenen bir kodu girmesi gerekir.
Hedef bunu yaptıktan sonra, saldırgan hesabın güvenliğini daha fazla tehlikeye atmak için elde edilen erişimi kullanabilir. Genellikle bu, artık güvenliği ihlal edilmiş Microsoft 365 kiracısından bilgi hırsızlığını içerir. Bazı durumlarda aktör, Microsoft Entra ID (eski adıyla Azure Active Directory) aracılığıyla bir cihazı kuruluşa yönetilen bir cihaz olarak eklemeye çalışır; bu, büyük olasılıkla belirli kaynaklara erişimi yalnızca yönetilen cihazlarla kısıtlamak üzere yapılandırılmış koşullu erişim ilkelerini atlatmaya çalışır.
Microsoft, Rus tehdit grubunun ele geçirilen örnekleri diğer saldırılarda kullanmasını başarıyla engellediğini ve şu anda kampanyanın etkisini ele almak ve sınırlamak için aktif olarak çalıştığını söylüyor.
Teknik destek dolandırıcılarından nasıl kaçınılır?
Blogda Microsoft, hatırlanması gereken çok önemli bir temel kural sağlar: Kullanıcı tarafından başlatılmayan kimlik doğrulama istekleri kötü niyetli olarak değerlendirilmelidir.
İyi bir üne sahip bir güvenlik sağlayıcısı olarak, çok sayıda taklitçi alıyoruz. Belki gururumuz okşanmalı ama açıkçası rahatsız olduk. İşte bir taklitçiyle karşı karşıya olduğunuzu gösteren birkaç açıklayıcı işaret:
- Şirket size Malwarebytes dışında herhangi bir isim verir. Malwarebytes dışarıdan destek sağlamaz. Kendi Destek ekibimiz var. Destek sağlamak için “yetkili” üçüncü taraflar yoktur. Hiç kimse adımızı, logomuzu veya diğer herhangi bir fikri mülkiyetimizi kullanma “lisanslı” değildir.
- Şirket, ilk talep ettiğinizde kredi kartınızı alamıyor veya almayacak. Saygın kuruluşlar bunu yapmaz. Dönem. Malwarebytes, tüm işlemler için ödeme alan bir kredi kartı işlemcisine sahiptir. Kredi kartı işlemcileri risk, dolandırıcılık ve suistimal için veteriner müşterileri gibi şeyler yapar. Dolayısıyla, biriyle iş yapmakta sorun yaşayan herhangi bir şirket, muhtemelen bu üç kategoriden birine giriyor. Kredi kartları ayrıca oldukça güçlü bir tüketici dolandırıcılık korumasına sahiptir, bu nedenle birini kullanmaktan uzaklaştırılırsanız, bu aynı zamanda şirketin muhtemelen yapmaması gereken bir şeyi yapmak üzere olduğuna dair bir kırmızı bayraktır.
- Şirket, giden destek aramaları yapar. Malwarebytes ve Microsoft bunu yapmaz. İstenmeyen giden aramalar yapan teknik destek şirketleri, kişisel bilgilerinizi sizi savunmasız bir hedef olarak sınıflandıran bir veri simsarından satın aldıkları için bunu yapma eğilimindedir. Bilgisayarınızda bir sorun olduğunu nereden bilecekler? Senin bir bilgisayara sahip olduğunu nereden bilecekler? Genel olarak konuşursak, biri durup dururken bilgisayarınızda bir sorun olduğunu iddia ederek sizi ararsa, kapatın.
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmanızı engeller. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme edinin.
ŞİMDİ DENE