İngilizce konuşulan ülkelerdeki üretim işletmeleri, sağlık kuruluşları ve teknoloji şirketleri, Microsoft 365 kullanıcılarına kimlik avı yapmak için oluşturulan Greatness adlı nispeten yeni bir hizmet olarak kimlik avı (PaaS) aracından yararlanan kimlik avcılarının en çok hedef aldığı yerler.
Cisco araştırmacısına göre bu araç, Aralık 2022 ve Mart 2023’te gözlemlenen etkinlik artışlarıyla çok sayıda kimlik avı kampanyasında kullanıldı.
Büyüklük PaaS
Greatness, Microsoft 365 kimlik bilgilerinden ödün vermek için özel olarak tasarlanmış bir PaaS aracı/hizmetidir.
Üç bileşeni vardır:
- Kimlik avı kiti (yönetici panelini içerir)
- hizmet API’sı
- Bir Telegram botu veya e-posta adresi
Araç, bağlı kuruluşlara bir ek ve bağlantı oluşturucu sağlayarak, şüphelenmeyen kullanıcıları kandırma olasılığı yüksek ikna edici tuzak ve oturum açma sayfaları oluşturmalarına olanak tanır.
Cisco Talos’ta güvenlik araştırmasının teknik lideri Tiago Pereira, “Kurbanın e-posta adresinin önceden doldurulması ve hedef kuruluşun gerçek Microsoft 365 oturum açma sayfasından çıkarılan uygun şirket logosu ve arka plan görüntüsünün görüntülenmesi gibi özellikler içerir” diyor.
“Birlikte çalışan kimlik avı kiti ve API, ‘ortadaki adam’ saldırısı gerçekleştirerek kurbandan API’nin gerçek zamanlı olarak yasal giriş sayfasına göndereceği bilgileri talep eder. Bu, PaaS bağlı kuruluşunun, kurban MFA kullanıyorsa kimliği doğrulanmış oturum tanımlama bilgileriyle birlikte kullanıcı adlarını ve parolaları çalmasına olanak tanır.”
Telegram botu, saldırganı başarılı bir saldırı hakkında anında bilgilendirir, böylece saldırgan, kimliği doğrulanmış oturum zaman aşımına uğramadan (yani çerezler geçersiz hale gelmeden) tepki verebilir.
Kimlik avı Microsoft 365 kullanıcıları
Kurbanın bakış açısından saldırı, HTML dosyası eki içeren bir e-posta ile başlar.
HTML dosyası açıldıktan sonra, kurbanın web tarayıcısında gizlenmiş JavaScript kodu çalıştırılır, saldırganın sunucusuyla bağlantı kurulur ve kurbana bir yükleme sayfasını taklit eden bulanık bir görüntü sunulur.
Bulanık yem sayfası (Kaynak: Cisco Talos)
Ardından kurban, e-posta adresinin zaten girilmiş olduğu sahte bir Microsoft 365 oturum açma sayfasına yönlendirilir. Parolalarını girdiklerinde PaaS aracı, Microsoft 365’e bağlanmak için yeteneklerinden yararlanır ve kurbanın kimliğine bürünerek oturum açmaya çalışır.
Pereira, “MFA kullanılırsa hizmet, kurbandan gerçek Microsoft 365 sayfası tarafından talep edilen MFA yöntemini (örn. SMS kodu, sesli arama kodu, push bildirimi) kullanarak kimlik doğrulaması yapmasını isteyecektir” diyor.
Kimlik doğrulama başarılı olduğunda, API hizmeti kimlik doğrulama oturumu tanımlama bilgilerini alır ve bunları belirlenen bağlı kuruluşun Telegram kanalına veya e-posta adresine iletir. Kimlik avcıları artık kurbanların Microsoft 365 hesabına erişmek için ihtiyaç duydukları her şeye sahip.