Tehdit aktörleri, iç organizasyon e -postalarını taklit eden, güveni aşan ve sosyal mühendislik istismarlarının başarı oranını artıran gelişmiş kimlik avı kampanyalarını başlatmak için Microsoft 365’in doğrudan gönderme özelliğini kullanıyor.
Çok işlevli yazıcılar ve eski uygulamalar gibi cihazlardan gelen mesajların dahili alıcılara kimlik doğrulanmamış aktarılması için tasarlanan bu özellik, harici saldırganların geçerli kimlik bilgileri gerektirmeden gönderen adreslerini parole yapmasına izin verir.
Proofpoint araştırmacıları, rakiplerin, genellikle sanal özel sunucularda (VPS) barındırılan SMTP röleleri olarak görev yapan teminatsız üçüncü taraf e-posta güvenlik cihazları aracılığıyla kimlik avı e-postaları enjekte ettikleri devam eden bir operasyonu belgeledi.
Bu mesajlar, SPF, DKIM veya DMARC uyumsuzlukları gibi kompozit kimlik doğrulama hataları için işaretlendiğinde bile kullanıcıların önemsiz klasörlerinde görünen yerel savunmaları sık sık atar.
Kampanya Genel Bakış ve Taktikler
Kimlik avı yemleri iş bağlamlarına göre uyarlanmış, görev hatırlatıcıları, banka havalesi yetkileri ve kullanıcı katılımını istemek için sesli mesaj bildirimleri gibi bahaneler kullanır.
Doğrudan Gönderme’den yararlanarak, saldırganlar, e -postalar hedef kuruluşun etki alanından kaynaklandığı, böylece iç iletişim bütünlüğünü zayıflatan ve güvenlik kontrollerine rağmen yük dağıtımını kolaylaştırdığı için bir meşruiyet kaplaması elde ederler.
Gözlemlenen teslimat mekanizmasında, saldırganlar 3389 numaralı bağlantı noktasında Windows Server 2022’yi çalıştıran sanal ana bilgisayarlara RDP bağlantıları kurarlar ve bunlardan maruz kalan üçüncü taraf cihazlara SMTP oturumları başlatırlar.
Bu cihazlar, geçerli DigiCert SSL sertifikalarını sunan ve AuthTLS ile Auth Düz Oturum Açma Destekleme, Microsoft 365 Kiracılara İletiler İletileri Dahili “FROM” adreslerini kullanarak aktarır.
Bu rölelerde 8008, 8010 ve 8015 gibi açık bağlantı noktaları genellikle süresi dolmuş veya kendi kendine imzalanmış sertifikalara sahiptir ve rakiplerin enjeksiyon için sömürdüğü güvenlik açıkları oluşturur.
Bu taktik, saldırganlar kötü niyetli niyeti maskelemek için güvenilir altyapı yoluyla yol gösterdikçe, tespit edilmesinden kaçınmak için meşru bulut hizmetlerini kötüye kullanmanın daha geniş bir modeliyle uyumludur.
Proofpoint’in analizi, Microsoft’un “Compauth = Başarısız” mesajları olan başlıklarda işaretlenmiş başarısız kimlik doğrulama yoluyla sahtekarlığı tanımladığında bile son kullanıcılara ulaştığını ve organizasyonel verimlilik ve esnekliğe yönelik riskleri artırdığını ortaya koyuyor.
Azaltma stratejileri
Bu tehdide karşı koymak için kuruluşlar e -posta röle yapılandırmalarını ve kimlik doğrulama protokollerini yeniden değerlendirmelidir.
Anahtar adım, Direct Send’in kullanımda olup olmadığını ve gereksizse, PowerShell aracılığıyla Set -OrganizationConfig -RecjectDirectSend $ True komutu ile devre dışı bırakılmasını içerir.
Buna ek olarak, katı SPF zor başarısız, DKIM imzalama ve DMARC reddetme politikaları, sahte teslimatları önleyebilir, ancak uygulama meşru trafiği bozmayı önlemek için dikkatli ayar gerektirir.
Kimlik doğrulanmamış röle IP’ler için posta akış kurallarının izlenmesi ve taklit göstergeleri için başlıkları incelemek esastır, Microsoft’un bu tür kaçışlara karşı yerleşik korumalarını geliştiren gelişmiş e-posta güvenlik çözümleri ile tamamlanır.
Bu kampanya, doğrudan gönderme gibi meşru özelliklerin yüksek tutarlılık saldırıları için vektörler haline geldiği ve potansiyel olarak veri ihlallerine veya finansal sahtekarlığa yol açtığı bulut ekosistemlerinde stratejik bir güvenlik açığının altını çiziyor.
Microsoft 365’in benimsenmesi arttıkça, CISOS güvenli röle uygulamalarına öncelik vermeli, kimlik doğrulanmamış göndermeleri doğal riskler olarak ele almalı ve iç güveni korumak için sağlam savunmaları entegre etmelidir.
Uzlaşma Göstergeleri (IOCS)
| Tip | Değer | Notalar |
|---|---|---|
| Kendi imzalı SSL sertifikası | CN = Wins25td77j | CN Saldırgan kontrollü Windows Server 2022 ana bilgisayarlar tarafından kullanılır |
| IP adresi | 163.5.112.86 | Salder tarafından kontrol edilen Windows Server 2022 ana bilgisayar SMTP bağlantısını başlatmak için kullanılır |
| IP adresi | 163.5.160.28 | Salder tarafından kontrol edilen Windows Server 2022 ana bilgisayar SMTP bağlantısını başlatmak için kullanılır |
| IP adresi | 163.5.160.119 | Salder tarafından kontrol edilen Windows Server 2022 ana bilgisayar SMTP bağlantısını başlatmak için kullanılır |
| IP adresi | 163.5.160.143 | Salder tarafından kontrol edilen Windows Server 2022 ana bilgisayar SMTP bağlantısını başlatmak için kullanılır |
| IP adresi | 163.5.169.53 | Salder tarafından kontrol edilen Windows Server 2022 ana bilgisayar SMTP bağlantısını başlatmak için kullanılır |
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!