Birden fazla tehdit grubu, kullanıcıları Microsoft 365 hesaplarına erişim izni vermeleri için kandırmak amacıyla cihaz kodu kimlik avı adı verilen bir teknik kullanarak saldırıları artırıyor. Perşembe günü Proofpoint’ten gelen bir rapora göre.
Çin ve Rusya’ya bağlı bilgisayar korsanları, son aylarda saldırı düzenlemek için bu tekniği kullandı. Bazı suç grupları da M365 kullanıcılarını hedef almak için aynı yöntemi kullandı.
Proofpoint’teki personel tehdit araştırmacısı Sarah Sabotka, Cybersecurity Dive’a şunları söyledi: “Bu, yetkili erişim için meşru ve güvenilir bir iş akışını kötüye kullanan bir sosyal mühendislik yöntemidir.”
Teknik, hiper bağlantılı metnin arkasına veya bir QR kodunun içine yerleştirilmiş bir URL ile mesaj göndermeyi içerir. Proofpoint’e göre, bir kullanıcı bağlantıya girdiğinde meşru bir Microsoft cihaz yetkilendirme sürecini kullanan bir saldırı dizisini başlatıyor.
İşlem başladıktan sonra kullanıcıya bir cihaz kodu verilir. Proofpoint’e göre kod, açılış sayfasına veya ikincil bir e-postayla geliyor. Kullanıcıya cihaz kodunu tek kullanımlık şifre olarak girmesi söylenir. Bu yapıldıktan sonra jeton doğrulanır ve bilgisayar korsanı M365 hesabına erişim kazanır.
Tehdit grupları, saldırıları başlatmak için SquarePhish2 veya Graphish kimlik avı kiti gibi araçları kullanıyor. Graphish kimlik avı kiti, bilgisayar korsanlarının, Azure uygulama kayıtlarından ve ortadaki rakip saldırılarında kullanılan ters proxy kurulumlarından yararlanan son derece ikna edici kimlik avı sayfaları oluşturmasına olanak tanır.
Siber güvenlik firması, TA2723 adı altında takip edilen bir suçlunun, bu tür saldırılar için kullanılabilecek kötü amaçlı bir aracı hack forumlarında satışa sunduğu konusunda uyardı. Araştırmacılar, Ekim ayı başında başlayan ve hacker’ın SquarePhish2’yi kullandığı bir kampanyayı ve Graphish’i kullanan ikinci bir kampanyayı tespit etti.
UNK_AcademicFlare adı altında takip edilen Rusya bağlantılı bir grup, ilk kez Eylül ayında tanımlanan bir kampanyayla bağlantılı. Saldırılar, ABD ve Avrupa’daki hükümetleri, düşünce kuruluşlarını, yüksek öğrenimi ve ulaştırma sektörlerini hedef almak için birden fazla hükümet ve askeri kuruluştan gelen ele geçirilmiş e-postaları kullanıyor.
Microsoft araştırma hakkında yorum yapmadı ancak şirket bir bağlantı sağladı Şubat ayındaki önceki araştırma raporu Bu, Storm-2372 olarak takip edilen Rusya bağlantılı bir grubun cihaz kodu kimlik avı kampanyasını özetledi. Söz konusu grup, Ağustos 2024’ten bu yana çeşitli teknikler kullanarak bu tür saldırılar gerçekleştiriyor.
Şirket ayrıca Ekim ayına ait kılavuz yayınladı. Microsoft Teams’e yönelik tehditler.