E-posta hizmetleri gibi Microsoft ürünlerinin kurumsal kullanıcılarını hedefleyen AiTM tabanlı bir kimlik avı kampanyası. Google Workspace kullanıcıları bile büyük ölçekli bir kampanyanın arkasındaki tehdit aktörleri tarafından hedef alındı.
AiTM kimlik avı saldırıları, tehdit aktörlerinin hedef kullanıcının hedef web sitesi ile kimlik avı web sitesi arasına bir proxy sunucusu yerleştirdiği saldırılara atıfta bulunur.
Proxy sunucusu, hedef web sitesi ile saldırganlar tarafından kontrol edilen etki alanı arasına yerleştirilir. Saldırganlar, proxy sunucusu aracılığıyla trafiğe erişebilir, bu da hedefle ilişkili parola ve çerezleri ele geçirmelerine ve verilerine erişmelerine olanak tanır.
Zscaler araştırmacıları Sudeep Singh ve Jagadeeswar Ramanukolanu şunları söyledi: –
“Bu kampanyanın odak noktası, Google Workspace’i birincil iletişim aracı olarak kullanan çok uluslu şirketlerin yöneticilerini ve diğer üst düzey üyelerini hedef almaktı.”
AiTM kimlik avı saldırılarının, kullanıcılarının Microsoft kimlik bilgilerini sifonlamak ve hatta çok faktörlü kimlik doğrulamayı atlamak için tasarlanmış bir sosyal mühendislik kampanyasına benzer bir çalışma biçimini takiben Temmuz 2022’nin ortalarında başladığı söyleniyor.
Saldırı Zinciri
Saldırıyı başlatan kullanıcıya kötü amaçlı bir bağlantı içeren bir e-posta gönderilir. Bu bağlantı tarafından Open Redirect yardımıyla gerçekleştirilen birden çok yeniden yönlendirme adımının bir sonucu olarak, kullanıcı, saldırgan tarafından kontrol edilen ve açık yeniden yönlendirme sayfalarını kullanan son bir Gmail phishing etki alanına yönlendirilecektir.
Bununla birlikte, istemcinin otomatik olarak bir analiz gerçekleştiren bir sistem değil, gerçekten de web sayfasında gezinen gerçek bir kullanıcı olduğundan emin olmak için sunucunun gerçek kimlik avı sayfasını istemciye sunmadan önce attığı ek bir adım vardır.
Saldırı zinciri, hepsi birbirine bağlı birkaç bileşenden oluşur. Saldırı vektörü söz konusu olduğunda, bu kampanya kötü niyetli kodu yaymak için kullanılan gömülü bağlantılara sahip e-postaları kullandı.
Bu e-postaları özellikle kuruluşun üst düzey yöneticilerine ve üst düzey üyelerine ve ayrıca hedeflenen diğer kişilere göndermeyi amaçlıyordu.
Görünüşe göre bu, Google’dan gelen ve şifre süresinin sona erdiğini hatırlatan ve alıcıyı hesabın genişletilebilmesi için bir bağlantıyı tıklamaya teşvik eden bir e-posta gibi görünüyordu.
Gmail veya Google Suite’in kullandığı çok faktörlü kimlik doğrulama süreci söz konusu olduğunda, AiTM kimlik avı kiti süreci başarıyla aktarabilir ve durdurabilir.
Açık yönlendirmelerin kötüye kullanılmasının yanı sıra, saldırının virüslü web sitelerine dayanan ek bir çeşidi vardır.
Yeniden yönlendirme işleminin bir sonraki aşamasında, ana bilgisayar kurbanın e-posta adresini ve sonraki aşama yeniden yönlendirme URL’sinin Base64 ile kodlanmış bir sürümünü gönderir. Bu ara yönlendiriciyi tıkladığınızda, Gmail’de JavaScript kodu kullanılarak oluşturulmuş bir kimlik avı sayfasına yönlendirileceksiniz.
Çok faktörlü kimlik doğrulama ile bile, tek başına kullanıldığında karmaşık kimlik avı saldırılarını önleyemeyeceği açıktır. Kullanıcıların, kişisel verilerini veya kimlik bilgilerini girmeden önce URL’leri iyice incelemeleri ve bilinmeyen ekleri açmaktan kaçınmaları gerekir.
Ücretsiz Yazılım Yazılımını İndirin – Güvenli Web Filtreleme – E-kitap