StrongestLayer’daki güvenlik araştırmacıları, büyük bir üretim firmasında tecrübeli bir güvenlik mimarı olan Jeremy ile işbirliği içinde, Microsoft 365’in kurumsal e-posta sistemlerine sızmak için doğrudan gönderme özelliğini kullanan çok katmanlı bir mızrak kimlik avı saldırısı düzenledi.
Başlangıçta StrongestLayer’ın AI sistemi izi tarafından işaretlenen kampanya, RingCentral gibi hizmetlerden zararsız sesli mesaj bildirimleri olarak maskelendi, ancak adli analiz, kimlik doğrulama bypass, gizlenmiş yükler ve hatta uyanık kullanıcılardan kimlik bilgilerini toplamak için tasarlanmış hiper kişiselleştirilmiş lures karışımını ortaya çıkardı.
Bu olay, meşru bulut özelliklerini kurumsal savunmalara karşı silahlandıran rakiplerin gelişen taktiklerinin altını çizerek otomatik AI tespitinin ve insan liderliğindeki soruşturmanın kritik kesişimini vurgulamaktadır.
Gelişmiş mızrak kimlik avı kampanyası
Saldırı zinciri, SPF, DKIM ve DMARC kimlik doğrulama protokollerindeki başarısızlıklar da dahil olmak üzere, meşru trafikle tutarsız olarak tanımlanan başlık anomalileri sergileyen e -postalarla başladı.
Bu mesajlar, ABD ve İsrail’deki jenerik barındırma sağlayıcılarına bağlı yetkisiz IP adreslerinden kaynaklandı, ancak şirket.mail.protection.outlook.com gibi dahili akıllı ana bilgisayarları doğrudan göndererek, kimlik doğrulanmamış SMTP gönderilerine izin veren bir Microsoft 365 mekanizması ile geçtiler.
Bu sömürü, e -postaların standart çevre filtrelerinden kaçan güvenilir dahili iletişim olarak görünmesini sağladı.
Jeremy, röle yollarının SMTPServer’ın net belirtileri gösterdiğini belirtti.
Çift ücretli yük teslimatı
Daha derine inen cazibe, doğal dil işlemeyi ve metin içeriğine bağlı anahtar kelime tabanlı tarayıcıların atlanması gibi acil harekete geçirici mesajlar ve “yeni bir sesli mesajınız var” gibi yüksek sadakatli sıralı görüntülere güveniyordu.
Bu görsel gizleme tekniği, e -postaların geleneksel savunmaları geçerek kullanıcıların ses çalma dosyaları olarak gizlenmiş eklerle etkileşime girmesini sağladı.
Yükler iki vektörde ortaya çıktı: “Play_audio_vm_… html” ve SVG dosyaları gibi varyantlar adlı HTML dosyaları, her ikisi de kimlik bilgisi hırsızlığı için ağır bir şekilde gizlenmiş JavaScript’i gömdü.
HTML vektöründe geçersiz TAG, BASE64 kodlu komut dosyalarını AtoB işlevleri aracılığıyla çözen bir onerror olayını tetikledi, kurbanın veri özelliklerinden e-postasıyla ön doldururken, uzak sunuculardan kimlik avlama sayfalarını dinamik olarak getirdi.
SVG alternatifi, genellikle iyi huylu görüntüler olarak gözden kaçan, dahil edildi
Saldırının gücünü yükselten şey derin kişiselleştirmesiydi: senaryolar, kurumsal logoları ve marka öğelerini hedefin alanına dayalı olarak çekti ve kimlik avı arayüzlerini meşru Microsoft 365 oturum açma portallarından ayırt edilemez hale getirdi ve kullanıcı şüpheciliğini tanıdık görsel ipuçlarıyla aşındırdı.
Zaman çizelgesini yeniden yapılandıran saldırganlar, doğrudan göndermek için PowerShell’i kullanarak uzlaşmayı başlattı, ardından yük yürütme ve kimlik bilgisi eksfiltrasyonuna yol açan görüntü tabanlı katılım izledi.
Bu sofistike, keşif-ağır operasyonlara işaret ediyor ve davranışsal kalıplar ileri süren ısrarlı tehdit aktörlerini gösteriyor.
Yanıt olarak, Jeremy’nin ekibi, Microsoft’un resmi yamalarını savunurken, işaretlenmemiş mesajlarda karantinayı zorlamak için posta ağ geçitlerinde özel başlık damgası da dahil olmak üzere geçici savunmalar yaptı.
StrongestLayer, doğrudan gönderme göstergeleri için başlık incelemesinin geliştirilmesini, harici kaynaklardan HTML ve SVG eklerini kısıtlamayı, katı DMARC reddetme politikalarını zorlamayı ve kimlik doğrulama anomalileri için davranışsal izlemenin uygulanmasını önerir.
Bu dava, rakiplerin, gizli, kişiselleştirilmiş saldırıları düzenlemek için doğrudan gönderme gibi bulut analizi özelliklerini nasıl kullandıklarını ve organizasyonları bu tür gelişen tehditlere karşı koymak için titiz forensik protokollerle entegre etmeye çağırıyor.
Siber savunmalar uyum sağladıkça, AI araçları ve insan uzmanlığı arasındaki işbirliği bu karmaşık kampanyaların sökülmesinde çok önemlidir.
The Ultimate SOC-as-a-Service Pricing Guide for 2025– Ücretsiz indir