
Microsoft’un en son güvenlik araştırması, kurumsal siber güvenlik alanında kritik bir gelişmeyi işaret ederek, ortadaki düşman (AITM) saldırılarının hızla gelişen tehdit manzarasına karşı sofistike savunma stratejilerini tanıttı.
AITM saldırılarının ortaya çıkması, özellikle kuruluşların geleneksel olarak engellenen geleneksel kimlik avı girişimlerini engelleyen diğer gelişmiş güvenlik önlemlerini giderek daha fazla benimsedikleri için, tehdit aktörlerinin kimlik gerçeği hırsızlığına yaklaşımlarında temel bir değişimi temsil etmektedir.
Saldırı metodolojisi, proxy sunucularını hedef kullanıcılar ve meşru web siteleri arasında dağıtmayı ve gerçek zamanlı olarak kimlik doğrulama akışlarını etkili bir şekilde ele geçirmeyi içerir.
Bu teknik, hizmet olarak kimlik avı (PHAAS) platformları aracılığıyla benzeri görülmemiş bir çekiş kazanmıştır ve Evilginx gibi çerçeveler, değişen beceri seviyelerine sahip siber suçlular için giderek daha erişilebilir hale geliyor.
Bu saldırıların sofistike, üretken kimlik avı operatörü Storm-0485 ve her ikisi de büyük ölçekli kimlik bilgisi hasat operasyonları için AITM yeteneklerini silahlandıran Rus casusluk grubu yıldızı Blizzard da dahil olmak üzere yüksek profilli tehdit aktörlerini çekti.
Microsoft analistleri, modern AITM saldırılarının özellikle çalıntı oturum belirteçlerinin kurumsal kaynaklara kalıcı erişim sağlayabileceği bulut tabanlı kurumsal ortamları hedeflediğini belirledi.
Başarılı AITM kampanyaları, tehdit aktörlerinin geleneksel güvenlik kontrollerini atlamasını ve hassas organizasyonel verilere uzun süreli erişimi sürdürmesini sağladığı için etki basit kimlik hırsızlığının ötesine uzanır.
Son zeka, bu saldırıların daha ikna edici sosyal mühendislik yemleri hazırlamak için yapay zeka dahil etmek için geliştiğini ve tespiti hem otomatik sistemler hem de son kullanıcılar için önemli ölçüde daha zor hale getirdiğini gösteriyor.
Teknik analiz, AITM operatörlerinin güvenlik algılama sistemlerini atlatmak için sık sık kaçma taktiklerini kullandıklarını ortaya koymaktadır.
Örneğin Storm-0485, kötü niyetli bağlantıları maskelemek için sürekli olarak gizlenmiş Google Hızlandırılmış Mobil Sayfalar (AMP) URL’lerini kullanır ve bu da ilk tehdit tanımlamasını güvenlik ekipleri için daha karmaşık hale getirir.
.webp)
Tehdit oyuncusu kampanyaları genellikle ödeme havale bildirimleri, paylaşılan belge uyarıları ve hileli LinkedIn hesap doğrulama istekleri gibi temalarla özenle hazırlanmış yemlere sahiptir.
Gelişmiş kalıcılık ve yanal hareket mekanizmaları
Çağdaş AITM saldırılarının en ilgili yönü, tehdit aktörlerinin iç kimlik avı kampanyalarını düzenlemek için başlangıçta kimliklerden yararlandığı konvromize sonrası faaliyetlerinde yatmaktadır.
Hediye kartı sahtekarlığı için perakende sektörünü özellikle hedefleyen Storm-0539, ikna edici iç kimlik avı e-postaları oluşturmak için meşru şirket kaynaklarını kullanarak bu tekniği göstermektedir.
Grup, şablon olarak hizmet etmek için otantik yardım masası biletlerini ve organizasyonel iletişimleri çıkarır ve uzlaşmış kuruluşların federasyonlu kimlik hizmet sağlayıcılarını tam olarak taklit eden AITM kimlik avı sayfaları oluşturur.
.webp)
Bu dahili yayılma yöntemi özellikle etkilidir, çünkü kimlik avı e -postaları meşru iç hesaplardan kaynaklanmaktadır ve gerçek organizasyonel iletişimlere çok benzemektedir.
Tehdit aktörleri sistematik olarak yüksek ayrıcalıklara sahip kimlikler ve kritik bulut kaynaklarına erişim aradığından, teknik kurumsal ağlarda önemli yanal hareket sağlar.
Microsoft’un analizi, bu takip saldırılarının genellikle cihaz kodu kimlik doğrulama kimlik avı içerdiğini, yalnızca 15 dakikalık pencereler için aktif kalan yüklerle birlikte, saldırganları kimlik bilgisi edinme başarı oranlarını en üst düzeye çıkarmak için birden fazla koordineli dahili kimlik avı dalgası yapmaya zorladığını göstermektedir.
9 yılını kutlayın. Run! Tam gücünün kilidini açmak TI Arama Planı (100/300/600/1.000+ arama istekleri) ve istek kotanız iki katına çıkacaktır.