Reliaquest, bilgisayar korsanları, bir imalat sektörü müşterisine karşı bordro sahtekarını düzenlemek için kurnaz bir arama motoru optimizasyonu (SEO) zehirleme şeması kullandı.
Bu aldatıcı strateji, meşru organizasyonel giriş sayfalarını yansıtan sahte kimlik doğrulama portallarının hazırlanmasını, arama motoru sonuçlarını bu kötü niyetli siteleri üstte sıralamak için manipüle etmeyi içerir.
Mobil cihazlarda bordro portallarını arayan şüphesiz çalışanlar, saldırganların bordro sistemlerine sızmak ve maaş çeklerini kendi hesaplarına yönlendirmek için kullanan kimlik bilgilerini teslim etmesi için çekiliyor.
.png
)
2024’ün sonlarında gözlemlenen benzer saldırılara bağlı olan bu olay, kuruluşları endüstriler arasında hedefleyen kalıcı ve gelişen bir kampanyaya işaret ediyor.
Gelişmiş SEO zehirlenme kampanyası
Teknik inceliklere giren saldırı, mobil cihazlara özgü SEO manipülasyonundan yararlanır, Google reklam ayarlarını “Bordro” ve “Portal” gibi anahtar kelimeler için mobil arama sonuçlarındaki kötü amaçlı sitelere öncelik vermek için ayarlar.
Mobil cihazlardan sıklıkla teminatsız konuk Wi-Fi veya dış kurumsal ağlarda erişildiğinde, bu siteler kullanıcıları Microsoft giriş portallarını taklit eden kimlik avı sayfalarına yönlendirir ve saldırgan kontrollü alanlara HTTP Post istekleri aracılığıyla kimlik bilgilerini hasat eder.
Göze çarpan bir taktik, çalıntı kimlik bilgilerinin gerçek zamanlı bildirimleri için meşru itici WebSocket hizmetinin kötüye kullanılmasını, canlı bağlantılar kurmak için belirli bir uygulama anahtarını kullanarak, böylece algılama veya şifre sıfırlamadan önce hızlı kötüye kullanımı sağladığını içerir.
Bu yaklaşım, geleneksel günlük gecikmelerini atlayarak kurumsal düzeyde korumadan yoksun kişisel cihazlarda ağ dışı kimlik avına kör olan kurumsal güvenlik önlemlerini oluşturur.
Gerçek Zamanlı Kimlik Hırsızlığı
Saldırganlar, faaliyetlerini maskelemek ve coğrafi tabanlı güvenlik filtrelerinden kaçmak için, kötü amaçlı trafiği meşru konut modelleriyle harmanlayarak daha da karmaşık hale getirerek, eski ürün yazılımı veya varsayılan kimlik bilgileri olan savunmasız ev yönlendiricilerinden temin edilen tehlikeye atılmış konut IP adreslerini ve proxy ağlarını kullanırlar.
Saldırganların sızması kimlik hırsızlığı ile durmaz. SAP SuccessFactors gibi bordro portallarına erişim sağladıktan sonra, AT & T gibi telekomünikasyon devlerinden olanlar da dahil olmak üzere mobil sağlayıcılara ve konut vekillerine bağlı IP adreslerinden doğrudan depozito ayrıntılarını değiştirirler.
Rapora göre, operasyonel hatalardaki bir Rus IP ipucundan başarısız olan kimlik doğrulama girişimleri, çeşitli konut IP’lerinden başarılı girişler şüphe önlemek için kasıtlı bir strateji göstermektedir.
Genellikle, gigabayt başına 0,77 $ ‘a kadar düşük bir fiyata satılan sömürülen yönlendiricilerden botnetleri içeren bu vekil kullanımı, siber suçta bu tür araçların düşük maliyetli, yüksek etkili doğasının altını çizmektedir.
Geleneksel güvenlik kontrolleri ağ dışı tehditlere karşı durduğundan, potansiyel olarak finansal kayıplara, aşınmış çalışan güvenine ve düzenleyici cezalara yol açtığı için kuruluşlar bu taktiklerden önemli risklerle karşı karşıyadır.
Reliaquest, şartlı erişim ile çok faktörlü kimlik doğrulama (MFA), güvenli portal erişiminde çalışan eğitimi, bordro ayarları için gerçek zamanlı değişiklik uyarıları ve griMatter dijital risk koruması gibi araçlar aracılığıyla alanların taklit edilmesi için proaktif izleme dahil olmak üzere güçlü karşı önlemler önerir.
Uzlaşma Göstergeleri (IOCS)
| Artefakt | Detaylar |
|---|---|
| 188.143.232[.]224 | Rusya’dan Saldırgan IP Kaynak Kullanımı |
| 2600: 387: 15: 4f15:[:]4 | Saldırgan mobil sağlayıcısı IPv6 adresleri |
| 2600: 387: F: 5610:[:]A | Saldırgan mobil sağlayıcısı IPv6 adresleri |
| 24.35.218[.]249 | Saldırganlar tarafından kullanılan konut IP’leri |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!