Saldırganlar, yalnızca Mart ve Haziran arasındaki üç aylık dönemde dünya çapında 100’den fazla kuruluşa 120.000 kimlik avı e-postası göndererek dünya çapında binlerce Microsoft 365 kullanıcı hesabını hedeflemek için bir EvilProxy kimlik avı kampanyası başlattı. Amaç? Kuruluş içinde daha derin saldırılar düzenlemek için C-suite ve diğer yönetici hesaplarını devralmak.
Proofpoint araştırmacıları, devam eden kampanyanın, üst düzey yöneticilerin bulut hesaplarını başarılı bir şekilde ele geçirmek için marka kimliğine bürünme, tarama engelleme ve çok adımlı bir bulaşma zinciri dahil olmak üzere kimlik avı taktiklerinin bir kombinasyonunu kullandığını açıkladı.
Proofpoint, son altı ayda bu devralmalarda %100’ün üzerinde önemli bir artış gözlemledi. Uzlaşmalar, toplu olarak dünya çapında 1,5 milyon çalışanı temsil eden kuruluşlarda meydana geldi.
Saldırganların, ters proxy ve tanımlama bilgisi yerleştirme yöntemlerini kullanan bir hizmet olarak kimlik avı teklifi olan EvilProxy’yi kullanmaları, saldırılarda çok faktörlü kimlik doğrulamayı (MFA) atlamalarına izin verdi. Gerçekten de, MFA kullanımı genellikle kimlik avını önleme mekanizması olarak anılsa da, EvilProxy ve benzeri ters proxy korsan araçları, kötü aktörlerin şifreyi kırmasını kolaylaştırıyor.
Proofpoint’ten Shachar Gritzman, Moshe Avraham, Tim Kromphardt, Jake Gionet ve Eilon Bendet, “Gerekirse, bu sayfalar kurban adına gerçek, başarılı bir kimlik doğrulamasını kolaylaştırmak için MFA kimlik bilgilerini isteyebilir – böylece toplanan kimlik bilgilerinin meşru olduğunu da doğrular.” bir blog yazısında.
Ayrıca, kimlik bilgileri bir kez alındıktan sonra aktörler, yöneticilerin bulut hesaplarına giriş yapmak için hiç vakit kaybetmedi ve yalnızca saniyeler içinde erişim elde etti. Araştırmacılar, kendi MFA’larını “Oturum Açmalarım”a eklemek için yerel bir Microsoft 365 uygulamasından yararlanarak güvenliği ihlal edilmiş hesaplara karşı dayanıklılık kazanmaya devam ettiklerini söyledi. Bunu yapmak için tercih ettikleri yöntem, “Bildirim ve Kod içeren Kimlik Doğrulayıcı Uygulaması” idi.
Araştırmacılar, “Tahmin edilenin aksine, MFA korumasına sahip kiracılar arasında hesap devralmalarında bir artış oldu” diye yazdı. “Verilerimize göre, geçen yıl güvenliği ihlal edilmiş tüm kullanıcıların en az %35’inde MFA etkindi.”
EvilProxy Saldırısının Dağılımı
Tipik bir EvilProxy saldırısı, saldırganların iş gider yönetimi sistemi Concur, DocuSign ve Adobe gibi bilinen güvenilir hizmetleri taklit etmesiyle başlar. Kötü amaçlı Microsoft 365 kimlik avı web sitelerine bağlantılar içeren bu hizmetlerden birinden geldiği iddia edilen kimlik avı e-postaları göndermek için sahte e-posta adresleri kullandılar.
Bu bağlantılardan birine tıklamak, kullanıcı trafiğinin önce diğerlerinin yanı sıra YouTube gibi açık, yasal bir yeniden yönlendiriciye yönlendirildiği çok adımlı bir bulaşma zinciri başlatır. Daha sonra trafik, kötü amaçlı tanımlama bilgilerini ve 404 yönlendirmelerini içeren birkaç yönlendirmeye daha maruz kalabilir.
Araştırmacılar, “Bu, trafiği öngörülemeyen bir şekilde dağıtmak ve keşif olasılığını azaltmak için yapılıyor” diye yazdı.
Sonunda, kullanıcı trafiği, ters proxy işlevi gören, alıcı markasını taklit eden ve üçüncü taraf kimlik sağlayıcılarını taklit etmeye çalışan bir açılış sayfası olan EvilProxy kimlik avı çerçevesine yönlendirilir.
Hacme rağmen, saldırıların yaklaşık %39’unda üst düzey yöneticileri hedef alarak kurumsal besin zincirinin en tepesine kadar giden saldırganlar, yaklaşımlarında son derece hedeflendi. Bu sayının %17’si CFO’lar ve %9’u başkanlar ve CEO’lardı.
MFA Bypass, Gelişmiş Güvenlik İhtiyacını Gösteriyor
Bir güvenlik uzmanı, hem saldırganların MFA’yı ihlal etmedeki başarısının hem de saldırının ölçeğinin, kuruluşlardan güvenlik seviyesini yükseltmek için bir yanıt talep eden kimlik avı saldırılarının gelişen karmaşıklığını gösterdiğini belirtti.
Siber güvenlik firması Centripetal’ın güvenlik mühendisi Colin Little, Dark Reading’e gönderdiği bir e-postada, “EvilProxy kimlik avı kampanyasının ölçeği ve cüretkarlığı son derece endişe verici,” diye yazdı. “Bu, hiçbir güvenlik önleminin kurşun geçirmez olmadığını ve siber suçluların sürekli olarak güvenlik açıklarından yararlanmanın yeni yollarını bulduklarını hatırlatıyor.”
Olağandışı faaliyetleri, ortaya çıkan tehditleri ve kuruluşların savunmasını güçlendirmek ve daha sağlam bir siber güvenlik duruşu sürdürmek için potansiyel güvenlik açıklarını izlemek için proaktif siber güvenlik istihbaratının konuşlandırılmasını tavsiye etti.
Gerçekten de birçok kuruluş EvilProxy’nin bir kimlik avı aracı olarak ne kadar etkili olduğunu bilse de, Proofpoint araştırmacıları “riskleri ve potansiyel sonuçlarıyla ilgili olarak halkın farkındalığında endişe verici bir boşluk” olduğunu belirtti.
Şirket, kötü amaçlı e-posta tehditlerinin engellenmesini ve izlenmesini, hesapların ele geçirilmesini ve bulut içindeki hassas kaynaklara yetkisiz erişimin belirlenmesini ve bir dizi kimlik avı azaltma çabası arasında e-posta mesajlarına gömülü bağlantılarla başlatılan potansiyel olarak kötü niyetli oturumların izole edilmesini öneriyor.