.jpg)
Geçen yılın sonlarında, bir grup tehdit aktörü, Microsoft Bulut İş Ortağı Programı (MCPP) aracılığıyla “doğrulanmış yayıncı” statüsü elde etmeyi başardı. Bu, yalnızca Microsoft ekosistemindeki güvenilir satıcılara ve hizmet sağlayıcılara verilen doğrulanmış mavi bir rozetle desteklenen kötü amaçlı uygulamaları dağıttıkları için, kimlik avı kampanyalarında normalde görülen marka kimliğine bürünme düzeylerini aşmalarını sağladı.
MCPP, Microsoft’un kurumsal ürün ve hizmetlerini satan ve destekleyen ve aynı zamanda bunlar etrafında kendi çözümlerini ve yazılımlarını oluşturan 400.000’den fazla şirketin yaşadığı kanal iş ortağı programıdır. Üyeler, diğerlerinin yanı sıra yönetilen hizmet sağlayıcıları, bağımsız yazılım satıcıları ve iş uygulaması geliştiricilerini içerir.
Proofpoint’ten araştırmacılar bu aktiviteyi ilk olarak geçen yıl 6 Aralık’ta keşfettiler. 31 Ocak’ta yayınlanan bir rapor, tehdit aktörlerinin, İngiltere ve İrlanda merkezli kuruluşların bulut ortamlarına sızmak için MCPP programı dahilinde doğrulanmış uygulama yayıncıları olarak sahte statülerini nasıl kullandıklarını özetliyor. Sahte çözüm ortakları, kötü niyetli uygulamalarla finans ve pazarlama çalışanları ile yönetici ve üst düzey yöneticileri hedef aldı. Rozete kanan kullanıcılar, potansiyel olarak kendilerini hesap devralma, veri hırsızlığı ve iş e-postası ele geçirme (BEC) risklerine maruz bıraktı ve kuruluşları, marka kimliğine bürünmeye açık hale getirildi.
Araştırmacılar, Dark Reading’e genel olarak, kampanyanın “Microsoft’un güvenlik mekanizmalarını aşmak için benzeri görülmemiş bir karmaşıklık kullandığını” söyledi. “Bu son derece iyi düşünülmüş bir operasyondu.”
Hackerlar Microsoft’u Nasıl Kandırdı?
Doğrulanmış bir yayımcı olmak için Microsoft Bulut İş Ortaklarının sekiz kriteri karşılaması gerekir. Bu ölçütler büyük ölçüde tekniktir ve Microsoft’un belgelerinde belirttiği gibi, çubuğu geçmek “bir uygulamada arayabileceğiniz kalite ölçütlerini ima etmez veya belirtmez.” Ancak kötü amaçlı uygulamaları dağıtmak için sistemi kötüye kullanan tehdit aktörleri? Bunun olmaması gerekiyordu.
Bu durumda işin püf noktası, saldırganların son kullanıcılara kimlik avı yapmadan önce Microsoft’u kandırmış olmalarıydı.
Yani: Meşru şirketleri taklit eden “görünen” adlar altında yayıncı olarak kaydoldular. Bu arada, ilişkili “doğrulanmış yayıncı” adları gizliydi ve biraz farklıydı. Araştırmacılar tarafından verilen örnek, “Acme LLC” kılığına giren bir yayıncının “Acme Holdings LLC” adlı doğrulanmış bir yayıncı adına sahip olabileceğidir.
Açıkçası, bu, sistemlerin doğrulama sürecinden geçmek için yeterliydi. Aslında araştırmacılar, “iki durumda, doğrulama, kötü amaçlı uygulamanın oluşturulmasından bir gün sonra verildi” dedi.
Doğrulama sürecinin başarısızlığına ilişkin yorum için ulaşıldığında, Proofpoint daha fazla ayrıntı sunmadı ve bir Microsoft sözcüsü yalnızca şunları kaydetti: “İzin kimlik avı, endüstri çapında devam eden bir sorundur ve sürekli olarak yeni saldırı modellerini izliyoruz. Bu kötü amaçlı uygulamaları devre dışı bıraktık ve müşterilerimizin güvenliğini sağlamaya yardımcı olmak için hizmetlerimizi sağlamlaştırmak için ek adımlar atıyoruz.”
Sözcü, “Proofpoint blogunda açıklanan kampanyadan etkilenen sınırlı sayıda müşteri bilgilendirildi” dedi.
Bilgisayar Korsanları Kurumsal Kullanıcıları Nasıl Kandırdı?
Doğrulanmış statüsünü elde eden tehdit aktörleri, son yıllarda siber saldırganlar için giderek daha popüler bir araç olan kötü amaçlı OAuth uygulamalarını yaymaya başladı. Kurbanların hesaplarına geniş erişim talep etmek için bu uygulamaları düzenlediler.
31 Ocak’ta yayınlanan bir danışma belgesine göre “Aktör, Azure AD’de oluşturdukları OAuth uygulama kayıtlarına doğrulanmış bir yayıncı eklemek için sahte ortak hesapları kullandı.” kullanıcıları hileli uygulamalara izin vermeleri için kandırdı.”
“Açık yetkilendirme”nin kısaltması olan OAuth, kullanıcıların, işlem sırasında oturum açma kimlik bilgilerini ifşa etmeye gerek kalmadan, üçüncü taraf uygulamalar arasında belirli veri paylaşımını yetkilendirmesini sağlayan, belirteç tabanlı bir çerçevedir. Yaygın bir örnek, birçok web sitesinin sitelerde kullanmak üzere yeni bir kimlik bilgisi seti oluşturmak zorunda kalmamak için sunduğu “Google ile oturum aç” veya “Facebook ile oturum aç” seçenekleridir. OAuth iletişim kutuları, kullanıcıların genellikle neyi kabul ettiklerinin ince ayrıntılarına girmeden sadece “Kabul Et”e basmasına neden olacak kadar yaygındır.
Bu rıza kimlik avı kampanyasını sonlandırmak, bundan çok daha fazla dikkat gerektirecekti.
Saldırganlar, “doğrulanmış yayıncı” onay damgasının ötesinde, izin isteyen uygulamalara belirsiz ve zararsız isimler verdiler: Bunlardan ikisi, basitçe “Tek Oturum Açma (SSO)” ve biri “Toplantı” olarak adlandırılıyordu. Saldırganlar, başka kimliğe bürünmüş kuruluşlar kisvesi altında yayınlamalarına rağmen, talep edilen izinler aşamasında kullanıcılara göstermek için bir ev adı seçtiler.
Proofpoint araştırmacıları, “Saldırgan(lar), hedeflenen kullanıcıları kandırmak için farklı veri alanları kullandı” dedi. “Görünür yayıncı adı olarak kimliğine bürünülen kuruluşun adıyla aynı olan bir ad kullandılar. Diğer ad, kötü amaçlı uygulamanın izin sayfasında görünmeyen gizli bir parametre olarak kullanıldı.”
Proofpoint yazarları raporda “iyi tanınan Zoom simgesinin eski bir sürümünü kullandılar” ve “güvenilirliklerini artırmak için Zoom’a benzeyen URL’lerin yanı sıra gerçek bir Zoom etki alanına yönlendirildiler” dedi.
Sonuç olarak, açıkça ifade ettiler: “Son kullanıcılar, bu blogda özetlenen gelişmiş sosyal mühendislik yöntemlerinin tuzağına düşebilir.”
Kumara kanan kurbanlar, saldırganlarına hesaplarının posta kutuları ve takvimleri gibi özel alanlarına erişim izni verdi. İzinler ayrıca çevrimdışı erişimi de içeriyordu ve bilgisayar korsanlarının dilediklerini tamamen gözden uzak bir şekilde yapmalarını sağlıyordu.
Sahte OAuth Uygulamaları: İşletmeler İçin Çıkarımlar
15 Aralık’ta kampanya hakkında bilgi edinen Microsoft, kötü amaçlı uygulamaları ve ilişkili yayıncı hesaplarını devre dışı bıraktı. Daha sonra, daha fazla araştırma yapmak için Dijital Suçlar Birimi’ni görevlendirdi.
Microsoft’a göre, “MCPP inceleme sürecini iyileştirmek ve gelecekte benzer hileli davranış riskini azaltmak için birkaç ek güvenlik önlemi uyguladık.”
Gelecekteki bu tür kampanyalara karşı savunma yapmak için Proofpoint araştırmacıları, kötü amaçlı uygulamaları tespit etmeye yardımcı olacak etkili bulut güvenlik çözümlerinin kullanılmasını önerdi ve okuyucuları, Microsoft’un izin kimlik avı ile ilgili danışma belgesine yönlendirdi. En önemli tavsiyeleri, “Microsoft tarafından doğrulanmış olsalar bile üçüncü taraf OAuth uygulamalarına erişim izni verirken dikkatli olun” idi.
“Yalnızca doğrulanmış yayıncı durumlarına dayalı olarak OAuth uygulamalarına güvenmeyin ve güvenmeyin” diye yazdılar.