Ağırlıklı olarak ABD’de 70’den fazla kuruluşu hedefleyen gelişmiş bir kimlik avı kampanyası, Varonis’in Yönetilen Veri Tespit ve Yanıtı (MDDR) adli tıp ekibi tarafından ortaya çıkarıldı.
Mayıs 2025’ten beri etkin olan bu kampanya, Microsoft 365’in Direct Send adlı daha az bilinen bir özelliğini kullanıyor ve bu da kiracı içindeki cihazların ve uygulamaların kimlik doğrulaması olmadan e-posta göndermesine izin veriyor.
Yazıcıların doğrudan gönderme bildirimlerini göndermesini sağlamak gibi dahili kullanım için tasarlanmış, tehdit aktörleri tarafından dahili kullanıcıları taklit etmek ve bir hesaptan ödün vermeden kimlik avı e -postaları sunmak için silahlandırılmıştır.
.png
)
Yeni bir kimlik avı kampanyasını tanıtmak
Akıllı ana bilgisayar biçiminden yararlanarak (örneğin, tenantname.mail.protection.outlook.com), saldırganlar, Microsoft’un filtreleme mekanizmaları ve üçüncü taraf çözümleri gibi geleneksel e-posta güvenlik kontrollerini atlayarak kuruluştan kaynaklanan mesajlar gönderebilirler.
Bu saldırının mekaniği endişe verici derecede basit ama etkilidir. Saldırganlar, öngörülebilir akıllı ana bilgisayar adresleri ve genellikle sosyal medyadan veya geçmiş ihlallerden kazınan dahili e -posta formatları gibi kamuya açık bilgileri kullanır.
PowerShell gibi araçları kullanarak, akıllı ana bilgisayar aracılığıyla dahili alıcılara mesaj gönderirler, “FROM” adresi meşru bir dahili kullanıcıyı taklit etmek için sahte.
Kimlik doğrulama gerekmediğinden ve e-posta Microsoft’un altyapısından yönlendirildiğinden, genellikle iç-iç-iç trafik olarak değerlendirilir ve incelemeden kaçınır.
Saldırı vektörünün teknik dökümü
Varonis’in adli analizi, Microsoft 365 kimlik bilgilerini hasat etmek için tasarlanmış kimlik avı sitelerine yönlendiren QR kodları içeren PDF ekleri ile sesli mesaj bildirimlerini taklit eden e-postalar da dahil olmak üzere gerçek dünya örnekleri ortaya çıktı.
Başlık analizi ayrıca, harici IP kökenleri (örn., 139.28.36.230), başarısız SPF ve DMARC kontrolleri ve DKIM imzalarının eksikliğini gösteren sömürüyü doğruladı, ancak mesajlar hala dahili olarak teslim edildi.
Bu kampanyanın Ukrayna IP adresleri gibi anormal coğrafi konumlara güvenmesi ve PowerShell kullanıcı aracıları gibi komut dosyası davranışları, saldırının gizliliğinin ve teknik kahramanlığının altını çizerek algılamayı derin başlık ve davranışsal analiz olmadan zorlaştırıyor.
Bu tehdidi azaltmak için kuruluşlar, Exchange Yönetici Merkezi’nde “doğrudan göndermeyi reddederek, katı DMARC politikaları (P = reddetme) uygulayarak ve Exchange Online Koruma (EOP) içinde SPF Hardfail’i uygulayarak hızla hareket etmelidir.
Ek önlemler, inceleme için kimlik doğrulanmamış dahili e-postaları işaretlemek, kepçeleme karşıtı politikaları kullanma ve kullanıcıları QR kod tabanlı kimlik avı (QUING) gibi riskler konusunda eğitmek sayılabilir.
Microsoft, istismarın engellenmesi için SPF kayıtlarındaki statik IP adreslerinin uygulanmasını önerirken, çok faktörlü kimlik doğrulama (MFA) ve koşullu erişim politikaları, kimlik bilgileri çalınırsa bir güvenlik ağı sağlar.
Doğrudan Gönder, meşru dahili kullanım için güçlü bir özellik olsa da, korumasız olduğunda tehlikeli bir vektör haline gelir ve sahte iç e -postaların çatlaklardan kaymasını önlemek için proaktif izleme ve sağlam güvenlik konfigürasyonlarına ihtiyaç olduğunu vurgular.
Uzlaşma Göstergeleri (IOCS)
| Kategori | Detaylar |
|---|---|
| IP adresleri | 139.28.36.230, 139.28.xx aralığında çoklu IPS |
| Alanlar | hxxps: //voice-e091b.firebaseapp[.]com, hxxps: //mv4lh.bsfff[.]esprili |
| E -posta Konu Satırları | “Arayan VM mesajı bıraktı”, “Yeni Kaçırılmış Faks-MSG”, “Faks Alındı: İnceleme Ref için Ekli Belge” |
| E -posta ekleri | Dosya adları genellikle ‘Faks-MSG’, ‘Arayan sol VM Mesajı’ veya ‘Dinle’ içerir |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin