Microsoft 365’in son derece ikna edici kimlik bilgisi hasat ve hesap devralma girişimleri yapmak için meşru altyapısını kullanan sofistike yeni bir kimlik avı kampanyası keşfedildi.
Görünen alanlara veya e -posta sahtekarlığına dayanan geleneksel kimlik avı denemelerinden farklı olarak, bu saldırı Microsoft’un güvenlik kontrollerini atlamak ve kullanıcıları aldatmak için kendi güvenilir sistemlerinden yararlanır.
Saldırı, Microsoft’un geçerli kimlik doğrulama belirteçlerine (SPF, DKIM, DMARC) sahip meşru hizmette üretilen e-postaları kullanıyor ve bu da hem teknik kontrollerin hem de insan alıcılarının tespit etmesini önemli ölçüde zorlaştırıyor.
Kiracı mülklerini ve organizasyon ekran adlarını Microsoft 365 içinde manipüle ederek, kimlik avı içeriğini doğrudan güvenilir Microsoft Communications içine yerleştirebilir.
Guardz Güvenlik Araştırmacıları, rakiplerin yenilerini kaydederek veya mevcut olanlardan ödün vererek birden fazla Microsoft 365 organizasyon kiracısı üzerinde kontrol kurduklarını belirledi.
Her kiracı, bazı hileli faaliyetleri kolaylaştıran, diğerleri marka takviyesi için kullanılan ve bazıları gizli röle noktaları olarak işlev gören, saldırı zincirinde stratejik bir rol oynar.
Bu saldırının en endişe verici yönü, Microsoft’un kendi faturalandırma bildirim sistemini nasıl kullandığıdır. Bir abonelik olayı tetiklendiğinde, Microsoft otomatik olarak kuruluşun ekran adını içeren onay e -postalarını gönderir.
Saldırganlar bu alanı şöyle dahil etmek için manipüle eder: “(Microsoft Corporation) Aboneliğiniz, çek hesabınızı kullanarak 689.89 USD için başarıyla satın alınmıştır.
Bu işlemi yetkilendirmediyseniz, geri ödeme istemek için lütfen 1 (888) 651-4716 numaralı telefonu arayın. ”
Saldırı süreci
Saldırı, görünürlüğü azaltmak için “*.onmicrosoft.com” alanları altında idari hesaplar oluşturan tehdit aktörleriyle başlar.
.webp)
Daha sonra kurbanları hileli destek numaralarını çağırmaya teşvik eden tam kimlik avı mesajlarıyla organizasyon adı alanlarını yapılandırırlar.
Meşru Microsoft faturalandırma etkinlikleri tetiklendiğinde, sistem bu kötü niyetli mesajları taşıyan e -postalar oluşturur.
E-posta başlıklarının incelenmesi, saldırganların Microsoft’un posta altyapısından nasıl yararlandığını ortaya koyuyor:-
From: Microsoft
Date: Mon, 24 Feb 2025 11:46:31 +0000
Subject: Microsoft subscription purchase confirmation
Message-ID:
Return-Path: [email protected].webp)
Bu saldırıyı özellikle tehlikeli kılan şey, geleneksel e-posta kimlik doğrulama mekanizmalarının, e-postalar meşru Microsoft alanlarından kaynaklandığından ve tüm standart e-posta güvenlik denetimlerinden geçerek, kurbanları daha az güvenlik kontrolünün bulunduğu ses tabanlı dolandırıcılıklara yönlendirdiği için bunu tespit edememesidir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.