Siber suçlular, Masquerade’i meşru iç iletişim olarak sunan kimlik avı kampanyalarını sunmak için Microsoft 365’in doğrudan gönderme özelliğini kullanarak sofistike bir yeni saldırı vektörü keşfettiler.
Bu ortaya çıkan tehdit, çok işlevli yazıcılar ve eski uygulamalar için tasarlanmış meşru bir Microsoft hizmetinden yararlanır ve geleneksel e -posta güvenlik kontrollerini atlayan sosyal mühendislik saldırıları için bir silah haline getirir.
Saldırı kampanyası, kimlik avı taktiklerinde önemli bir evrimi temsil ediyor, çünkü tehdit aktörleri artık geçerli kimlik bilgileri veya kimlik doğrulaması gerekmeden hedef kuruluştan kaynaklanan kötü niyetli e -postalar gönderebiliyor.
Direct Send’in doğal güven modelinden yararlanarak, saldırganlar kimlik avı girişimlerinde benzeri görülmemiş bir güvenilirlik elde ederek, tespit ve önlemeyi güvenlik ekipleri için çok daha zor hale getiriyor.
ProofPoint araştırmacıları, bu aktif kampanyayı Microsoft 365 kiracılarını, teminatsız üçüncü taraf e-posta güvenlik cihazlarını ve sanal özel sunucu varlıklarını içeren karmaşık bir altyapı aracılığıyla hedeflemeyi belirlediler.
Sofistike operasyon, siber suçluların tespitten kaçınmak ve sosyal mühendislik kampanyalarının başarı oranını artırmak için meşru bulut hizmetlerini nasıl silahlandırmaya devam ettiğini göstermektedir.
Teknik saldırı altyapısı ve mesaj enjeksiyon akışı
Saldırı mekanizması, e-posta altyapısının birden fazla katmanını kullanan dikkatle düzenlenmiş dört aşamalı bir işlemi takip eder.
Saldırganlar başlangıçta 3389 bağlantı noktasında uzaktan masaüstü protokolü aracılığıyla Windows Server 2022’yi çalıştıran sanal ana bilgisayarlara bağlantılar kurar ve bunlara işlemleri için meşru bir Windows ortamı sağlar.
.webp)
Bu tehlikeye atılan ana bilgisayarlardan, SMTP bağlantıları başlatırlar ve hizmet olarak bölgesel altyapı sağlayıcılarının barındırdığı teminatsız üçüncü taraf e-posta güvenlik cihazlarına.
Bu tehlikeye atılan cihazlar, geçerli DigiCert SSL sertifikalarına sahip ve ATTRLS şifrelemesiyle Auth Düz Giriş’i destekleyen SMTP röleleri olarak işlev görür.
Bununla birlikte, cihazlar 8008, 8010 ve 8015’i süresi dolmuş veya kendi kendine imzalanmış sertifikalarla ortaya çıkarır ve saldırganların sömürdüğü güvenlik boşlukları oluşturur.
Kötü niyetli mesajlar daha sonra bu aletler aracılığıyla doğrudan Microsoft 365 kiracılarına aktarılır ve burada sahte dahili gönderen adresleri kullanılarak doğrudan gönderiler.
Kuruluşlar PowerShell komutunu yürüterek anında koruma uygulayabilir Set-OrganizationConfig -RejectDirectSend $true Doğrudan Gönder işlevselliğini devre dışı bırakmak için.
Ayrıca, kompozit kimlik doğrulama hataları için mesaj başlıklarını izleme compauth=fail Son kullanıcılara ulaşmadan önce bu sofistike sahtekarlık girişimlerini belirlemeye yardımcı olabilir.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin