Siber suçluların kimlik avı saldırıları yapmak için Cisco’nun kendi güvenlik altyapısını silahlandırdığı sofistike bir saldırı kampanyası ortaya çıktı.
Saldırganlar, kullanıcıları kötü amaçlı URL’lerden korumak için tasarlanmış Cisco Safe Links teknolojisini kullanıyorlar, Cisco’nun güvenlik markasıyla ilişkili güveni kullanarak algılama sistemlerinden kaçınmak ve ağ filtrelerini atlıyor.
Key Takeaways
1. Attackers use legitimate Cisco Safe Links to hide malicious URLs, exploiting Cisco's trusted reputation.
2. Security systems trust Cisco domains, allowing malicious wrapped URLs through filters.
3. Context-aware AI detects these attacks through behavioral analysis.
Güvenlik araçlarını silahlara dönüştürmek
Raven AI analizine göre, saldırı vektörü, Cisco’nun güvenli e-posta ağ geçidi ve şüpheli URL’leri e-postalarda yeniden yazan, Cisco’nun Secure-Web.cisco’daki tarama altyapısını yönlendiren Cisco Safe Links’ü kullanıyor.[.]com.
Saldırganlar, kötü niyetli amaçlar için meşru Cisco güvenli bağlantılar oluşturmak için birden fazla yöntem keşfettiler.
Birincil teknikler, kendilerini kötü amaçlı URL’ler e-postayla göndererek, cisco korumalı ortamlar aracılığıyla e-postalar gönderen bulut hizmetlerinden yararlanarak ve daha önceki kampanyalardan daha önce geri dönüşüm oluşturarak güvenli bağlantılar oluşturmak için Cisko-korumalı kuruluşlar içindeki hesaplardan ödün verilmesini içerir.
Kullanıcılar Güvenli Web ile başlayan URL’leri gördüğünde[.]Cisco.com, Cisco’nun siber güvenlikteki itibarı nedeniyle bağlantıya güveniyorlar ve araştırmacıların “dernek tarafından güven” olarak adlandırılan şeyleri yaratıyorlar.
Saldırı, geleneksel e -posta güvenlik ağ geçitlerini atlar, çünkü birçok sistem analizlerini URL’lerde görünür alanlara odaklar.
Etki alanı Secure-Web.cisco olarak görüntülendiğinde[.]Com, genellikle şüpheli içeriği işaretleyecek filtrelerden geçer.
Buna ek olarak, saldırganlar yeni tehditlerin ortaya çıktığı zaman ile Cisco’nun tehdit istihbarat sistemleri arasındaki zaman boşluğunu kullanırlar.
Geleneksel güvenlik çözümleri bu saldırılarla mücadele ediyor çünkü her teknik düzeyde meşru görünüyorlar.
Kötü niyetli unsurlar, belirgin teknik göstergelerden ziyade bağlam ve davranış kalıplarında gizlenir.
Raven AI tarafından tespit edilen son örnekler, uygun markalaşma ve iş terminolojisi ile birlikte, söz konusu e-imza hizmetlerinden profesyonel görünümlü “belge inceleme isteği” e-postalarını içeriyordu.
Raven AI’nın bağlam farkında olan yapay zeka, tutarsız gönderen kimlikleri, kodlanmış parametrelerle şüpheli URL yapısı ve kimlik bilgisinde yaygın olarak kullanılan belge isteği kalıpları dahil olmak üzere birden fazla sinyali aynı anda analiz ederek bu saldırıları başarıyla tanımladı.
Sistemin meşru iş iş akışlarını anlama yeteneği, profesyonel olarak hazırlanmış görünse bile iletişimin beklenen kalıplardan ne zaman saptığını belirlemesini sağlar.
Bu, saldırganların sadece teknik güvenlik açıklarından ziyade insan psikolojisini ve iş süreçlerini kullandıkları siber güvenlik tehditlerinde temel bir değişimi temsil ediyor.
Cisco Güvenli Bağlantılar gibi güvenilir güvenlik altyapısının silahlandırılması, yalnızca etki alanı itibarına ve imzaya dayalı algılama yöntemlerine dayanmak yerine, niyet ve davranışsal modellere dayalı saldırıları tanımlayabilen gelişmiş, bağlama duyarlı algılama sistemlerine olan ihtiyacı göstermektedir.
Safely detonate suspicious files to uncover threats, enrich your investigations, and cut incident response time. Start with an ANYRUN sandbox trial →