Ticari E-Posta Güvenliği (BEC), Dolandırıcılık Yönetimi ve Siber Suçlar
Saldırganlar Finansal, Güvenlik ve Kullanıcı Bilgilerini İçeren Dosyaları İndirdi
Prajeet Nair (@prajeetspeaks) •
12 Şubat 2024
Proofpoint’ten araştırmacılar, kişiselleştirilmiş kimlik avı tuzakları kullanan hala aktif bir kimlik avı kampanyasının Microsoft Azure ortamlarındaki üst düzey kurumsal hesapları hedef aldığını söyledi.
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Alma: CISO’ları Engelleme 5 En Önemli Güvenlik Sorunu
Proofpoint Pazartesi günkü bir blog yazısında, finansal motivasyona sahip olabilecek kampanyanın sıklıkla satış direktörleri, hesap yöneticileri ve finans yöneticilerinin yanı sıra “başkan yardımcısı, operasyonlar” veya “başkan ve CEO” gibi unvanlara sahip kişileri hedef aldığını söyledi.
Bilgisayar korsanları, düzinelerce Microsoft Azure ortamına yayılmış yüzlerce kullanıcı hesabının güvenliğini ihlal etti. Araştırmacılara göre kimlik avı tuzakları, kullanıcıları kötü amaçlı bir kimlik avı web sayfasına yönlendiren bağlantılar içeren paylaşılan belgeleri içeriyor.
Proofpoint bir e-postada, “Bir olayda, tüketim malları sektöründe önde gelen bir Amerikan şirketinin düzinelerce İngiltere ve ABD merkezli çalışanlarının (bazıları harici yükleniciler) tehlikeye atıldığını tespit ettik” dedi.
Tehdit aktörü, şüpheli konumlardan gelen günlükleri kısıtlayan coğrafi sınırlama politikalarını atlatmak amacıyla kurbanların coğrafi konumuna bağlı proxy’ler kullanıyor. Ancak araştırmacılar, saldırganların Rusya merkezli Selena Telecom LLC ve Nijeryalı sağlayıcılar Airtel Networks Limited ve MTN Nijerya İletişim Limited tarafından sağlanan yerel sabit hat ISP’lerini kullandığını tespit etti. Araştırmacılar kampanyayı bir tehdit aktörüne bağlamadı.
Proofpoint, bilgisayar korsanlarının Linux masaüstünde Chrome tarayıcı kullandığını öne süren tehdit aktörü etkinliğine belirli bir kullanıcı aracısı dizesi bağladı. Dize Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36.
Saldırganlar bu dizeyi ağırlıklı olarak Office365 oturum açma portalına veya Microsoft “Oturum Açmalarım” uygulamasına erişirken kullanırlar; saldırganlar bu dizeyi ele geçirilen hesaplara kendi çok faktörlü kimlik doğrulama yöntemlerini kaydetmek için kullanırlar.
Çoğu durumda, saldırganlar kendi kimlik doğrulama uygulamalarını kaydediyor ancak tek seferlik bir kod almak için yeni bir telefon numarası gibi oturum açma yöntemleri de ekliyorlar.
Proofpoint, Information Security Media Group’a şöyle konuştu: “Saldırganlar yaklaşımlarında fırsatçı görünse de, uzlaşma sonrası faaliyetlerin geniş yelpazesi, artan düzeyde karmaşıklığa işaret ediyor.”
Saldırganlar erişim sağladıktan sonra finansal varlıklar, dahili güvenlik protokolleri ve kullanıcı kimlik bilgilerini içeren dosyaları indiriyor. Araştırmacılar, ayrıca kişiselleştirilmiş kimlik avı e-postaları göndermek için ele geçirilmiş e-posta hesaplarını kullandıklarını ve dolandırıcılık yapmak için mali departmanlarla iletişime geçtiklerini söyledi.