Avrupalı şirketleri hedef alan karmaşık bir kimlik avı kampanyası. Haziran 2024’te zirveye çıkan saldırı, Microsoft Azure bulut kimlik bilgilerini toplamayı ve kurbanların bulut altyapısını tehlikeye atmayı amaçlıyor.
Kampanya öncelikle Almanya ve Birleşik Krallık’taki otomotiv, kimya ve endüstriyel bileşik imalat şirketlerini hedef alıyor. Araştırmacılar, çeşitli Avrupa kuruluşlarında yaklaşık 20.000 kullanıcının etkilendiğini tahmin ediyor.
Palo Alto, kimlik avı mesajlarının ya Docusign ile etkinleştirilen bir PDF dosyasını ek olarak içerdiğini ya da kurbanları kimlik avı e-postalarının içine yerleştirilmiş zararlı HubSpot Serbest Form Oluşturucu bağlantılarına yönlendiren bir HTML bağlantısı içerdiğini belirtti.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin
Tehdit aktörleri mağdurları cezbetmek için çok yönlü bir yaklaşım kullanıyor:
1. Kötü amaçlı PDF ekleri: E-postalar, şirkete özel adlara sahip Docusign özellikli PDF dosyaları içerir ve kullanıcıları “Belgeyi Görüntüle” düğmesini tıklamaya teşvik eder.
2. Gömülü HTML bağlantıları: Bazı e-postalar, kurbanları sahte web sitelerine yönlendiren bağlantılar içerir.
3. HubSpot Serbest Form Oluşturucu: Saldırganlar ikna edici kimlik avı formları oluşturmak için bu meşru hizmetten yararlanır.
“Birkaç kötü amaçlı PDF eki, dosya adında hedef kuruluşun adını kullandı (ör. ŞirketAdı.pdf). Şekil 2, Docusign belgesini taklit eden kötü amaçlı bir PDF dosyasının örneğini gösteriyor,” diye belirtti Palo Alto.
Bir kullanıcı bu kötü amaçlı öğelerle etkileşime girdiğinde, Microsoft Azure oturum açma portallarını taklit edecek şekilde tasarlanmış bir kimlik bilgileri toplama sayfasına yönlendirilir.
Kimlik avı altyapısı son derece karmaşık olup, birden çok düzeyde yeniden yönlendirme ve meşru şirket web sitelerine çok benzeyen alan adları kullanır. Örneğin, saldırganlar ikna edici URL’ler oluşturmak için “.buzz” gibi üst düzey alan adlarını kullanıyor (ör. http://www.acmeinc)[.]vızıltı).
Birim 42 araştırmacıları, bu kampanyada kullanılan en az 17 farklı HubSpot Serbest Form URL’sini tespit ederek operasyonun ölçeğini vurguladı. Saldırganlar ayrıca anonimlikleriyle ve yayından kaldırma taleplerine karşı dirençleriyle bilinen “Kurşun geçirmez” VPS sunucularını da kullandı.
Bu kampanyayı diğerlerinden ayıran şey kalıcılık teknikleridir. Saldırganlar, bir hesabın güvenliğini ihlal ettikten sonra kurbanın Azure hesabına yeni cihazlar ekleyerek parola sıfırlandıktan sonra bile erişimi sürdürmelerine olanak tanıyor.
Tehdit aktörleri, tespit edilmekten kaçınmak için VPN proxy’lerini kullanarak oturum açma girişimlerinin kurban kuruluşla aynı ülkeden geliyormuş gibi görünmesini sağlar. Ayrıca bağlantı girişimleri sırasında olağandışı kullanıcı aracısı dizeleri kullanırlar.
Kuruluşlara aşağıdaki koruyucu önlemleri uygulamaları tavsiye edilir:
- Tüm bulut hesapları için çok faktörlü kimlik doğrulamayı etkinleştirin.
- Kullanıcı hesaplarına yapılan cihaz eklemelerini düzenli olarak inceleyin ve denetleyin.
- Gerçek zamanlı oturum yönetimi için sürekli erişim değerlendirmesini uygulayın.
- Potansiyel veri sızıntısını önlemek için “Self Servis Kiracı Oluşturma”yı devre dışı bırakın.
- Çalışanlarınızı, özellikle aciliyet gerektiren kimlik avı girişimlerini tespit etmeleri konusunda eğitin.
- Gelişmiş e-posta filtreleme ve kimlik doğrulama protokollerini (SPF, DKIM, DMARC) kullanın.
Kampanya aktif olmaya devam ettikçe kuruluşların dikkatli olması ve bulut güvenliğine öncelik vermesi gerekiyor. Bu saldırının karmaşık doğası, bulut altyapısına güvenen işletmelerin karşı karşıya olduğu, gelişen tehdit ortamının çarpıcı bir hatırlatıcısıdır.
Güvenliği ihlal ettiğinden şüphelenen şirketler, etkilenen hesapları derhal devre dışı bırakmalı, aktif oturumları iptal etmeli ve kapsamlı araştırma ve düzeltme için siber güvenlik uzmanlarıyla iletişime geçmelidir.
Olay, giderek karmaşıklaşan kimlik avı taktikleriyle mücadele etmek için sağlam bulut güvenliği önlemlerine ve sürekli çalışan eğitimine duyulan kritik ihtiyacın altını çiziyor.