Siber güvenlik araştırmacıları, Microsoft 365’in geleneksel e-posta güvenlik savunmalarını atlamak ve hiper kişiselleştirilmiş kimlik bilgisi hırsızlık saldırıları yapmak için Microsoft 365’in doğrudan gönderme özelliğini silahlandıran sofistike bir mızrak kimlik avı kampanyası ortaya çıkardılar.
Kampanya, meşru Microsoft hizmetlerinin teknik sömürülmesini, deneyimli güvenlik profesyonellerini bile silahsızlandırmak için tasarlanmış gelişmiş sosyal mühendislik teknikleriyle birleştirerek saldırı sofistike bir evrim gösteriyor.
Saldırı, Microsoft 365’in SPF, DKIM ve DMARC kontrolleri dahil standart e -posta kimlik doğrulama mekanizmalarını atlatmak için doğrudan gönderme işlevselliğini kullanıyor.
Kötü niyetli e -postaları mağdurların kendi akıllı ana bilgisayar altyapısı aracılığıyla yönlendirerek, saldırganlar temel kimlik doğrulama protokollerini başarısızlığa uğratırken iletişimlerini güvenilir iç trafik olarak başarılı bir şekilde maskelendirirler.
Bu sömürü, tehdit aktörlerinin genellikle geleneksel e -posta güvenlik çözümleri tarafından engellenecek kötü amaçlı yükler sunmalarını sağlar.
Bu kampanyayı özellikle tehlikeli kılan şey, çift vektör yaklaşımı ve aşırı kişiselleştirme yetenekleridir.
Strongestlayer analistleri, iz AI sistemlerinin şüpheli kimlik doğrulama anomalilerini ve meşru iletişimlerle tutarsız davranışsal kalıpları tespit ettikten sonra saldırıyı belirledi.
Araştırmacılar, saldırganların metin tabanlı güvenlik filtrelerinden kaçmak için görüntü tabanlı yemleri kullandıklarını ve aynı zamanda maksimum etki ve gizli için tasarlanmış iki farklı yük türünü dağıttığını keşfettiler.
Kampanya, RingCentral gibi güvenilir hizmetlerden görünüşte zararsız sesli mesaj bildirimleriyle başlayan sofistike bir çok aşamalı enfeksiyon mekanizması kullanıyor.
Bu e-postalar, geleneksel tarayıcılar için analiz edilebilir bir metin içermez, bunun yerine meşru hizmet bildirimlerini mükemmel bir şekilde taklit eden yüksek fidelite satır içi görüntüler kullanır.
.webp)
Sosyal mühendislik bileşeni, kullanıcılara sözde önemli sesli mesajlar duymak için ekleri açmalarını isteyerek aciliyet yaratır.
Teknik uygulama ve yük analizi
Saldırının teknik karmaşıklığı, çift ücretli yükleme sistemi ile belirginleşiyor. Birincil vektör, üç aşamalı bir gizleme tekniği uygulayarak ses çalar olarak gizlenmiş kötü amaçlı HTML dosyalarını kullanır.
.webp)
Yük yapısı, daha sonra base64-kodları tetikleyen ve gizli JavaScript:-
İkincil vektör, birçok güvenlik filtresinin SVG dosyalarını potansiyel olarak yürütülebilir içerik yerine güvenli görüntüler olarak ele alması gerçeğinden yararlanan kötü amaçlı SVG dosyaları kullanır.
Bu dosyalar, otomatik analiz sistemlerini yenmek için tasarlanmış ek özel kodlama katmanlarına sahip gömülü JavaScript içerir. Bu kampanyanın en ilgili yönü dinamik kişiselleştirme yeteneğidir.
Kötü niyetli JavaScript, genel oturum açma sayfalarını oluşturmaz, bunun yerine her bir kurbanın organizasyonuna özgü kurumsal logoları ve markalamayı dinamik olarak getirir ve tanıdık görsel öğeler aracılığıyla kullanıcı şüphesini etkili bir şekilde saldırıya uğratan mükemmel meşru görünümlü kimlik bilgisi hasat sayfaları oluşturur.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın