Dalış Özeti:
- Salı günü yayınlanan bir habere göre Microsoft, tehdit aktörlerinin şirketin “doğrulanmış yayıncı” statüsünü İngiltere ve İrlanda’daki birden çok kuruluş ve kullanıcıdan e-posta ve diğer verileri çalmak için kötüye kullanmasının ardından bir izin kimlik avı kampanyasını devre dışı bıraktı. Blog yazısı.
- Tehdit aktörleri, belirli kuruluşların bulut ortamlarına sızmak için kötü amaçlı OAuth uygulamalarını kullanarak bir kampanya başlatmıştı. Proofpoint’ten araştırma Salı yayınlandı.
- Tehdit aktörleri, daha önce Microsoft İş Ortağı Ağı olarak bilinen Microsoft Bulut İş Ortağı Programı’na kaydolurken meşru şirketlerin kimliğine bürünebildi. Sahte uygulamalara izin vermeleri için kullanıcıları kandırmayı başardılar.
Dalış Bilgisi:
Üçüncü taraf uygulamaları, kimlikleri onaylandıktan sonra “doğrulanmış yayıncı” statüsü alır. Microsoft bunu, kuruluşların ve kullanıcıların bir uygulamanın yasal ve kullanımı güvenli olarak tanımlandığını bilmelerini sağlamak için yapar.
Proofpoint araştırmacıları, 6 Aralık civarında İngiltere kuruluşlarını hedef alan kötü amaçlı uygulamalar kullanan bir kimlik avı kampanyası keşfetti. Araştırmacılar, kötü amaçlı uygulamaları oluşturmak için kullanılan özel altyapının saldırıdan günler veya haftalar önce geliştirildiğini söyledi.
Proofpoint araştırmacılarına göre, OAuth uygulamaları izin verilen kaynaklara kalıcı erişim sağlıyor. Saldırganlar, hedeflenen kullanıcıların uygulamalara yetki vermesini sağladıktan sonra, etkilenen bulut ortamlarında kalıcı bir yer edinmeyi başardı.
Proofpoint araştırmacıları, “Bir tehdit aktörü, kötü niyetli bir üçüncü taraf OAuth uygulamasına izin vermesi için bir kullanıcıyı başarıyla kandırırsa, tehdit aktörü geniş kapsamlı yetki verilmiş izinlere erişim elde eder” dedi.
Bunlar, e-postaları okumayı, posta kutusu ayarlarını düzenlemeyi ve bir kullanıcı hesabına bağlı verilere ve dosyalara erişim elde etmeyi içerir.
Microsoft yetkilileri, şirketin tüm hileli uygulamaları devre dışı bıraktığını ve etkilenen şirketleri e-posta yoluyla bilgilendirdiğini söyledi. Şirketler kullanarak araştırmak gerekir bu adımlar Microsoft, ek iyileştirmenin gerekli olup olmadığını doğrulamak için dedi. Tüm şirketler Önerilen adımları atın izin kimlik avını önlemek için burada.
Bir Microsoft sözcüsü e-posta yoluyla, “Rıza kimlik avı, sektör çapında devam eden bir sorundur ve sürekli olarak yeni saldırı modellerini izliyoruz” dedi. “Bu kötü amaçlı uygulamaları devre dışı bıraktık ve müşterilerimizin güvenliğini sağlamaya yardımcı olmak için hizmetlerimizi sağlamlaştırmak için ek adımlar atıyoruz.”