Siber güvenlik şirketi, MSP’leri küçük işletmeleri güvence altına almaları için güçlendirdi, son derece sofistike bir Microsoft 365 kiracı marka manipülasyonu tespit etti ve müşterilerine karşı kullanımını bozdu.
Siber güvenlik şirketi olan Guardz, MSP’leri ve BT profesyonellerini küçük işletmeler için kapsamlı, yerli siber koruma sağlama konusunda güçlendirir, bugün Microsoft 365’in güvenilir altyapısını, kurbanları kötü niyetli bir tehdit eylemi çağrısı çağırması ve potansiyel olarak kabul etmeyi denemek için manipüle etmek için son derece sofistike, devam eden bir kimlik avı kampanyası bulgularını açıkladı.
Güvenli e -posta ağ geçitleri (SEG’ler) ve gelişmiş tehdit koruma mekanizmaları gibi e -posta güvenliği savunmaları daha karmaşık hale geldikçe, siber tehdit aktörleri, en sağlam tespit mekanizmalarını bile atlamak için kaçınma tekniklerini sürekli olarak incitiyor. Bu eğilimi kanıtlayan Guardz, müşterilerine karşı kullanımda oldukça aldatıcı bir kimlik avı kampanyasını tanımladı, analiz etti ve başarıyla bozdu ve siber saldırganların meşru altyapıyı yeni yollarla manipüle ederek tekniklerini nasıl geliştirmeye devam ettiğini vurguladı.
Guardz Araştırma Birimi (GRU), kimlik avı içeriği için güvenilir bir dağıtım mekanizması oluşturmak için meşru Microsoft hizmetlerinden yararlanan saldırı yönteminin ayrıntılarını belirledi ve hem teknik kontrollerin hem de insan alıcılarının onu tespit etmesini zorlaştırdı. Microsoft 365 kiracı mülklerini manipüle ederek ve kimlik avı yüklerini doğrudan meşru e -postaların içine gömmek için organizasyonel profil sahtekarlıklarından yararlanarak, kullanıcıları meşruiyet pelerini altında bilgi sağlamaya kandırabilirler.
Saldırı akışı çok sayıda aşama içerir:
● Altyapı edinimi: Rakipler, yeni kiracıları kaydederek veya mevcut kiracıları tehlikeye atarak birden fazla Microsoft 365 organizasyon kiracısı üzerinde kontrol kurarlar. Her kiracı, saldırı zincirinde stratejik bir rol oynar ve tehdit oyuncusunun Microsoft 365 altyapısındaki güven mekanizmalarından kaçmasına ve güven mekanizmalarını manipüle etmesine izin verir. Bu, Microsoft tarafından kimlik avı içeriği ile gönderilen meşru ödeme ve faturalandırma faaliyet e -postalarını kullanmak da dahil olmak üzere çeşitli saldırı işlevlerine izin verebilir.
● Teknik yapılandırma: Microsoft 365 kiracıları üzerindeki kontrol kurulduktan sonra, saldırgan varsayılan “*.onmicrosoft.com” alanını kullanarak yönetim hesapları oluşturabilir. Kilit taktikler arasında yönetici hesap oluşturma, posta yönlendirme kötüye kullanımı ve aksisiz avlama karşıtı kaçırma bulunur.
● Aldatma hazırlığı: Kimlik avı kampanyalarının güvenilirliğini artırmak için saldırganlar, ikinci kiracının organizasyon adını meşru bir Microsoft işlem bildirimini taklit eden yanıltıcı bir tam metin mesajı ile yapılandırırlar. Bu taktik, doğrudan e-postaya bir kimlik avı cazibesi enjekte etmek için hizmet tarafından oluşturulan çeşitli e-postalara ve arayüzlere yansıtılan Microsoft 365’in yerleşik kiracı ekran adı özelliğini kullanır.
● Saldırı yürütmesi: Meşruiyeti en üst düzeye çıkarmak ve algılamadan kaçmak için saldırgan, ilk kiracı içinde bir satın alma veya deneme aboneliği etkinliği başlatır. Bu eylem, tamamen meşru görünen kimlik avı içeriği sunmak için Microsoft’un altyapısını kullanan otantik bir Microsoft imzalı fatura e-postası oluşturur. Saldırgan, organizasyon ekran adını ikinci bir kiracıda manipüle ederek hileli mesajın güvenilir bir iletişim kanalına gömülmesini sağlar. E -postalar yerel M365 altyapısından yararlandığından ve gönderme alan adı meşru olarak microsoft.com olduğundan, kimlik avı cazibesi SPF, DKIM ve DMARC tarafından tespit edilemez.
● Teknik meşrulaştırma: Saldırgan, Microsoft’un meşru e -posta altyapısından yararlanarak, kimlik avı e -postasının güvenlik uyarılarını artırmadan Microsoft’un sunucularından geçmesini sağlar. E -posta güvenilir bir kaynaktan kaynaklandığından, güvenlik araçları tarafından işaretlenmeden kurbanın gelen kutusuna ulaşma olasılığı daha yüksektir.
● Mağdur katılımı: Microsoft’un faturalandırma e -postaları, bir çağrı merkeziyle derhal kurban etkileşimini isteyen kuruluş adını ve sahte destek iletişim numaralarını içerir. Bu doğrudan iletişim, geleneksel e-posta tabanlı yöntemlerin ötesinde kimlik avı etkinliğini önemli ölçüde artırır.
Guardi Eisner, “Guardiz’deki ekibimiz, ABD ekonomisinin omurgası olan ve aktörleri tehdit eden küçük işletmeleri güvence altına almak için çalışıyor. “Microsoft’un bulut hizmetlerine olan doğal güvenden yararlanarak, bu kimlik avı kampanyası, güvenlik ekiplerinin algılaması ve azaltılması, etki alanı itibar analizinden, DMARC uygulama ve kepçeli anti-müstakil mekanizmalardan kaçınması için önemli ölçüde daha zordur. Siber savunucular olarak, sadece geleneksel uzlaşma göstergelerine değil, aynı zamanda meşru sistemlerin kötü niyetli amaçlar için nasıl manipüle edilebileceğine de odaklanmamız gerektiğini hatırlatıyor. ”
Guardz Birleşik Güvenlik Platformu, bu tür tehditlerle mücadelede benzersiz bir avantaj sağlar. Şirketin birleşik tespiti ve yanıtı saldırıyı etkili bir şekilde azaltırken, güvenlik ekibi etkilenen müşterileri bilgilendirdi ve gelecekte benzer tehditleri önlemek için gelişmiş algılama mekanizmaları uyguladı.
Bu saldırı vektörüne karşı korunmak için Guardz, gelişmiş içerik denetimi, kullanıcı farkındalığı eğitimi, resmi destek numaralarının doğrulanması ve bilinmeyen alanların ve yeni oluşturulan kiracıların doğrulanmasını içeren e -posta analizinden başlayarak işletmelerin gelişmiş algılama ve yanıt araçları uygulamalarını önerir.
Kimlik avı kampanyası ve Guardz’ın buna karşı nasıl korunduğu hakkında daha fazla bilgi edinmek için blog yazının tamamını buradan okuyun.
__
Guardz Hakkında
Guardz, MSP’lere ve BT profesyonellerine Siber saldırılara karşı KOBİ’leri güvence altına almak ve sigortalamak için tasarlanmış AI destekli bir siber güvenlik platformu sağlar. Guardz platformu, kullanıcıları, e -postaları, cihazları, bulut dizinlerini ve verileri koruyarak otomatik algılama ve yanıt sunar. Siber güvenlik yönetimini basitleştirerek Guardz, işletmelerin güvenlik karmaşıklıkları tarafından boğulmadan büyümeye odaklanmalarını sağlar. Şirketin ölçeklenebilir ve uygun maliyetli fiyatlandırma modeli, tüm dijital varlıklar için kapsamlı bir koruma sağlar, bu da hızlı dağıtım ve iş genişlemesini kolaylaştırır.
Reklam
LinkedIn Group Bilgi Güvenlik Topluluğumuza katılın!