EvilProxy hizmet olarak kimlik avı (PhaaS) aracından yararlanan bir kimlik avı kampanyası, dünya genelinde 100’den fazla kuruluşta üst düzey yöneticilerin ve yöneticilerin Microsoft 365 kullanıcı hesaplarını hedef aldığı tespit edildi.
Hizmet olarak kimlik avının yükselişi
Kuruluşlar giderek daha fazla çok faktörlü kimlik doğrulama (MFA) kullandığından, tehdit aktörleri, kimlik doğrulama bilgilerini ve oturum çerezlerini çalmak (ve böylece MFA tarafından sunulan ekstra korumayı atlamak) için ters proxy ve tanımlama bilgisi yerleştirme yöntemlerini kullanan EvilProxy gibi kimlik avı hizmetlerini kullanmaya başladı. .
Proofpoint araştırmacıları, “Günümüzde bir saldırganın ihtiyacı olan tek şey, bot algılama, proxy algılama ve coğrafi sınırlama gibi özelleştirilebilir seçeneklerle işaretle ve tıkla arayüzü kullanan bir kampanya oluşturmaktır.”
“Bu nispeten basit ve düşük maliyetli arayüz, başarılı MFA kimlik avı etkinliği için bir taşkın kapısı açtı. Böyle bir arayüz ve araç seti, edinmesi, yapılandırması ve kurması kolay, her şey dahil bir kimlik avı kiti olan EvilProxy’dir.”
Kampanya
Mart ve Haziran 2023 arasında Proofpoint araştırmacıları, Microsoft 365 kullanıcı hesaplarını hedef alan yeni bir kimlik avı kampanyası tespit etti. DocuSign, Adobe ve SAP Concur gibi meşru hizmetleri taklit eden hedef kuruluşlara yaklaşık 120.000 kimlik avı e-postası gönderildi.
Kurban e-posta bağlantısını tıkladığında, önce meşru bir web sitesine (YouTube, SlickDeals, vb.) yönlendirilir ve ardından bir dizi başka web sitesine yönlendirilerek, sonunda EvilProxy tarafından oluşturulan ve alıcı markasını taklit eden kimlik avı sayfasına yönlendirilir. ve üçüncü taraf kimlik sağlayıcılarını yönetmeye çalışır.
Araştırmacılar, “Gerekirse, bu sayfalar kurban adına gerçek, başarılı bir kimlik doğrulamasını kolaylaştırmak için MFA kimlik bilgilerini isteyebilir – böylece toplanan kimlik bilgilerinin meşru olduğunu da doğrular” dedi.
Saldırının yönlendirme zinciri. (Kaynak: Kanıt)
Saldırganlar, gönderilen e-postaları otomatik tarama araçlarından gizlemek için özel kodlama kullandılar, ardından her kullanıcının e-posta adresinin kodunu çözmek için PHP kodunu yüklemek için meşru, saldırıya uğramış web sitelerini kullandılar.
Araştırmacılar, “E-posta adresinin kodunu çözdükten sonra, kullanıcı nihai web sitesine yönlendirildi – gerçek kimlik avı sayfası, yalnızca o hedefin organizasyonu için özel olarak hazırlanmış” dedi. Saldırganlar kurbanın hesabına erişim sağladıktan sonra, kalıcı erişim sağlamak için “Oturum Açma Bilgilerim”i kullanarak kendi çok faktörlü kimlik doğrulama yöntemini eklediler.
hedefler
Bu özel kampanya son derece hedeflenmişti; Saldırganlar, en alt seviyedekileri göz ardı ederek seçici bir şekilde “VIP” hedefleri seçiyorlardı.
Güvenliği ihlal edilen yüzlerce kullanıcının yaklaşık %39’u, %17’si Finans Direktörü ve %9’u Başkanlar ve CEO’lar olmak üzere C düzeyindeki yöneticilerdi. Saldırganlar aynı zamanda finansal varlıklara veya hassas bilgilere erişimi olan personele odaklanarak alt düzey yönetime de ilgi gösterdiler” dedi.
Daha önce de belirtildiği gibi, hedeflenen kuruluşlar dünyanın dört bir yanında bulunuyor, ancak Türkiye değil. Araştırmacılar, Türk IP adreslerinden gelen kullanıcı trafiğinin meşru bir web sayfasına yönlendirildiğini kaydetti.