EvilProxy Indeed.com’daki Microsoft 365 hesaplarına saldırıyor

   Ekim 5, 2023  Posted in CyberSecurityNews


EvilProxy, Indeed.com'da açık yönlendirmeyi kötüye kullanan Microsoft 365 hesaplarına saldırıyor

Menlo Labs tarafından yakın zamanda tespit edilen bir kimlik avı kampanyası, öncelikli olarak Bankacılık ve Finansal Hizmetler, Sigorta sağlayıcıları, Mülk Yönetimi ve Emlak ve İmalat sektörlerine odaklanarak birden fazla sektörde üst düzey rollerdeki yöneticileri aktif olarak hedef alıyor.

Temmuz ayında başlayan ve Ağustos ayına kadar devam eden bu kampanyada ‘EvilProxy’ olarak bilinen gelişmiş bir kimlik avı kiti kullanıldı.

Saldırganlar, özellikle ABD merkezli kuruluşları hedef alan mağdurlar ile meşru web siteleri arasındaki istekleri engellemek için EvilProxy’yi kullandı.

Saldırının birincil yöntemi, popüler iş arama platformu “indeed.com”daki açık yeniden yönlendirme güvenlik açığından yararlanarak kurbanları Microsoft’un kimliğine bürünen kötü amaçlı kimlik avı sayfalarına yönlendirmekti.

Tehdit İstihbaratı

Temmuz 2023’te Menlo Security HEAT Shield, ‘indeed.com’ web sitesinde açık yönlendirmeyi içeren yeni bir kimlik avı saldırısını tespit etti ve engelledi.

Kimlik avı postası örneği
Kimlik avı postası örneği

Bu teknik, mağdurları yönlendirmenin güvenilir bir kaynaktan geldiğine inandırarak kandırır. Saldırganlar, karanlık ağda abonelik tabanlı bir hizmet olarak sunulan hizmet olarak kimlik avı platformu ‘EvilProxy’yi kullandı.



Belge

Ücretsiz demo

Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir


Kampanyanın ana hedefleri, çeşitli sektörlerdeki ABD merkezli kuruluşların üst düzey çalışanları ve kilit yöneticileriydi.

Enfeksiyon Vektörü

Saldırı, görünüşe göre ‘indeed.com’dan gelen, yanıltıcı bağlantılar içeren kimlik avı e-postalarıyla başladı. Kurbanlar bu bağlantılara tıkladıklarında sahte bir Microsoft Online giriş sayfasına yönlendirildiler.

Hedeflenen sektörlerin dağılımı
Hedeflenen sektörlerin dağılımı

Saldırı Öldürme Zinciri

  1. Kurban ‘indeed.com’ bağlantısını içeren bir kimlik avı e-postası alır.
  2. Kurban bağlantıya tıklıyor ve sahte bir Microsoft oturum açma sayfasına yönlendiriyor.
  3. EvilProxy kimlik avı çerçevesi, yasal siteden dinamik olarak içerik almak için kullanılır.
  4. Kimlik avı sitesi ters proxy görevi görerek istekleri ve yanıtları yakalar.
  5. Saldırgan oturum çerezlerini çalar.
  6. Çalınan tanımlama bilgileri, kimlik avına karşı dayanıklı olmayan MFA’yı atlayarak meşru Microsoft Çevrimiçi sitesinde oturum açmak için kullanılır.

EvilProxy Microsoft 365 Kullanıcılarına Saldırıyor

Saldırı, bir uygulamanın güvenilmeyen bir harici etki alanına yönlendirdiği açık yeniden yönlendirme güvenlik açığından yararlandı. Bu durumda, kurban ‘indeed.com’ gibi görünen ancak bir kimlik avı sayfasına yönlendirilen bir URL’yi tıkladı.

Saldırganlar, kullanıcı oturumu çerezlerini çalmak ve MFA’yı atlamalarına olanak sağlamak için ters proxy görevi gören EvilProxy kimlik avı kitini kullandı.

Kimlik avı yönlendirme zinciri, kimlik avı bağlantısı, yeniden yönlendirici URL’si ve kimlik avı sayfasından oluşuyordu.

Kimlik avı sayfasının ekran görüntüsü
Kimlik avı sayfasının ekran görüntüsü

Kimlik avı sayfaları, Microsoft Çevrimiçi oturum açma sayfalarının kimliğine büründü ve ters proxy işlevi görebilen Nginx sunucularında barındırıldı.

EvilProxy kullanımına atfedilebilecek gözlemlenen yapılar arasında Nginx sunucularında alan adı barındırma, belirli URI yolları ve Microsoft’un Ajax CDN’sinin kullanımı yer alıyor.

Menlo Koruması

Menlo Labs, Indeed.com’u açık yönlendirme güvenlik açığı ve bu güvenlik açığından aktif olarak yararlanılması konusunda bilgilendirdi.

HEAT Shield kullanarak bu phishing saldırısını başarılı bir şekilde tespit edip önledi, saldırı vektörünü kesti ve SOC analistlerine Zero Hour Phishing Detection uyarıları sağladı.

Bu kimlik avı kampanyası, kimlik bilgilerini toplamak için Microsoft’un kimliğine bürünerek ‘indeed.com’daki açık yeniden yönlendirme güvenlik açığından yararlanmak için ‘EvilProxy’ kitini kullandı.

Basitliği ve MFA’yı atlama yeteneği nedeniyle ‘EvilProxy’ kullanımının artma olasılığı yüksektir.

Öneriler

  1. Farkındalık oturumları ve eğitimler yoluyla kullanıcıları eğitin.
  2. FIDO tabanlı kimlik doğrulama gibi kimlik avına karşı dayanıklı MFA uygulayın.
  3. Güvenliklerini varsaymak yerine hedef URL’leri doğrulayın.
  4. Sıfır saatlik kimlik avı saldırılarına karşı gerçek zamanlı koruma için HEAT Shield gibi oturum izolasyon çözümlerini kullanın.

850’den fazla üçüncü taraf uygulamaya hızla yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.



Source link