Microsoft, enerji sektöründeki birden fazla kuruluşu hedef alan çok aşamalı bir ortadaki rakip (AitM) kimlik avı ve iş e-postası ihlali (BEC) kampanyası konusunda uyardı.
Microsoft Defender Güvenlik Araştırma Ekibi, “Kampanya, kimlik avı yükleri sağlamak için SharePoint dosya paylaşım hizmetlerini kötüye kullandı ve kalıcılığı korumak ve kullanıcı farkındalığından kaçınmak için gelen kutusu kuralı oluşturmaya güvendi” dedi. “Saldırı, bir dizi AitM saldırısına ve birden fazla kuruluşu kapsayan devam eden BEC etkinliğine dönüştü.”
İlk ele geçirmenin ardından istismar sonrası faaliyetin bir parçası olarak, bilinmeyen saldırganların, geniş bir ağ oluşturmak ve kampanyanın kapsamını genişletmek amacıyla büyük ölçekli organizasyon içi ve harici kimlik avı gerçekleştirmek için kurbanın güvenilir dahili kimliklerinden yararlandıkları tespit edildi.
Saldırının başlangıç noktası, muhtemelen önceden ele geçirilen güvenilir bir kuruluşa ait bir e-posta adresinden gönderilen bir kimlik avı e-postasıdır. Tehdit aktörleri, bu meşru kanalı kötüye kullanarak, SharePoint belge paylaşımı iş akışları gibi görünen mesajlar göndererek bu kanala bir güvenilirlik görünümü kazandırdı ve alıcıları kimlik avı URL’lerine tıklamaları için kandırdı.
SharePoint ve OneDrive gibi hizmetler kurumsal ortamlarda yaygın olarak kullanıldığından ve e-postalar yasal bir adresten geldiğinden şüphe uyandırma olasılıkları düşüktür ve saldırganların kimlik avı bağlantıları göndermesine veya kötü amaçlı yükler hazırlamasına olanak tanır. Bu yaklaşım aynı zamanda güvenilir siteler (LOTS) olarak da adlandırılıyor çünkü e-posta merkezli tespit mekanizmalarını altüst etmek için bu tür platformların aşinalığını ve her yerde bulunmasını silah haline getiriyor.
URL ise kullanıcıları sözde belgeyi görüntülemek için sahte bir kimlik bilgisi istemine yönlendiriyor. Çalınan kimlik bilgilerini ve oturum çerezini kullanarak hesaba erişim sağlayan saldırganlar, gelen tüm e-postaları silmek ve tüm e-postaları okundu olarak işaretlemek için gelen kutusu kuralları oluşturur. Bu temel uygulandığında, ele geçirilen gelen kutusu, AitM saldırısı kullanarak kimlik bilgileri hırsızlığı gerçekleştirmek üzere tasarlanmış sahte bir URL içeren kimlik avı mesajları göndermek için kullanılır.
Bir vakada Microsoft, saldırganın, güvenliği ihlal edilen kullanıcının hem kuruluş içindeki hem de dışındaki kişilerine gönderilen 600’den fazla e-postayı içeren büyük ölçekli bir kimlik avı kampanyası başlattığını söyledi. Tehdit aktörlerinin ayrıca teslim edilmemiş ve ofis dışında olan e-postaları silmek ve herhangi bir endişelerini dile getirmeleri durumunda mesaj alıcılarına e-postanın orijinalliği konusunda güvence vermek için adımlar attığı da gözlemlendi. Daha sonra yazışmalar posta kutusundan silinir.
Windows yapımcısı, “Bu teknikler tüm BEC saldırılarında yaygındır ve kurbanı saldırganın operasyonlarından habersiz tutmayı, böylece kalıcılığa yardımcı olmayı amaçlamaktadır” dedi.
Microsoft, saldırının AitM’nin “operasyonel karmaşıklığını” vurguladığını, parola sıfırlamanın tek başına tehdidi ortadan kaldıramayacağını, etkilenen kuruluşların aktif oturum çerezlerini iptal ettiğinden ve tespitten kaçınmak için saldırgan tarafından oluşturulan gelen kutusu kurallarını kaldırdıklarından emin olmaları gerektiğini belirtti.
Bu amaçla şirket, saldırganın ele geçirilen kullanıcının hesaplarında yaptığı çok faktörlü kimlik doğrulama (MFA) değişikliklerini iptal etmek ve bu hesaplarda oluşturulan şüpheli kuralları silmek için müşterilerle birlikte çalıştığını belirtti. Şu anda kaç kuruluşun ele geçirildiği ve bunun bilinen herhangi bir siber suç grubunun işi olup olmadığı bilinmiyor.
Kuruluşların, kimlik avına karşı dayanıklı MFA gibi güvenlik kontrollerinin yürürlükte olduğundan emin olmak, koşullu erişim politikalarını etkinleştirmek, sürekli erişim değerlendirmesini uygulamak ve gelen e-postaları ve ziyaret edilen web sitelerini izleyen ve tarayan kimlik avına karşı koruma çözümleri kullanmak için kimlik sağlayıcılarıyla birlikte çalışmaları önerilir.
Microsoft tarafından açıklanan saldırı, tehdit aktörleri arasında Google Drive, Amazon Web Services (AWS) ve Atlassian’ın Confluence wiki’si gibi güvenilir hizmetleri kimlik bilgisi toplama sitelerine yönlendirmek ve kötü amaçlı yazılım oluşturmak için kötüye kullanma yönünde süregelen eğilimi vurguluyor. Bu, saldırganların kendi altyapılarını oluşturma ihtiyacını ortadan kaldırır ve aynı zamanda kötü amaçlı etkinliklerin meşru görünmesini sağlar.
Açıklama, kimlik hizmetleri sağlayıcısı Okta’nın, Google, Microsoft, Okta ve çok çeşitli kripto para birimi platformlarını hedef alan sesli kimlik avı (diğer adıyla vishing) kampanyalarında kullanılmak üzere özel olarak tasarlanmış özel kimlik avı kitleri tespit ettiğini söylemesinin ardından geldi. Bu kampanyalarda, rakip, teknik destek personeli gibi davranarak, sahte destek hattını veya şirket telefon numarasını kullanarak olası hedefleri arar.
Saldırılar, kullanıcıları kötü amaçlı bir URL’yi ziyaret etmeleri için kandırmayı ve kimlik bilgilerini teslim etmeyi amaçlıyor; bu kimlik bilgileri daha sonra bir Telegram kanalı aracılığıyla gerçek zamanlı olarak tehdit aktörlerine iletilerek hesaplarına yetkisiz erişim sağlanmasına olanak tanıyor. Saldırganların hedefler üzerinde keşif yapması ve özelleştirilmiş kimlik avı sayfaları oluşturmasıyla sosyal mühendislik çalışmaları iyi planlanmıştır.
Hizmet olarak satılan kitler, tehdit aktörlerinin hedeflenen kullanıcının tarayıcısındaki kimlik doğrulama akışını gerçek zamanlı olarak kontrol etmesini mümkün kılan istemci tarafı komut dosyalarıyla donatılmış olarak gelir; sözlü talimatlar sağlar ve onları MFA atlamasına yol açacak eylemler (örneğin, anlık bildirimleri onaylama veya tek seferlik şifreleri girme) yapmaya ikna eder.
Okta Tehdit İstihbaratı tehdit araştırmacısı Moussa Diallo, “Bu kitleri kullanarak, hedeflenen kullanıcıya telefon eden bir saldırgan, kullanıcı kimlik bilgisi avı sayfalarıyla etkileşime girerken kimlik doğrulama akışını kontrol edebilir” dedi. “Çağrı sırasında verdikleri talimatlarla hedefin tarayıcısında hangi sayfaları gördüğünü mükemmel bir senkronizasyonla kontrol edebiliyorlar. Tehdit aktörü bu senkronizasyonu, kimlik avına karşı dayanıklı olmayan her türlü MFA’yı yenmek için kullanabilir.”
Son haftalarda, kimlik avı kampanyaları Temel Kimlik Doğrulama URL’lerinden (ör. “kullanıcı adı:şifre@etki alanı) yararlandı[.]com”), kurbanı görsel olarak yanıltmak için kullanıcı adı alanına güvenilir bir alan adı, ardından bir @ simgesi ve gerçek kötü amaçlı alan adı yerleştirerek.
Netcraft, “Kullanıcı tanıdık ve güvenilir bir alan adı ile başlayan bir URL gördüğünde, bağlantının yasal ve tıklamanın güvenli olduğunu varsayabilir” dedi. “Ancak tarayıcı, @ simgesinden önceki her şeyi, hedefin bir parçası olarak değil, kimlik doğrulama bilgileri olarak yorumluyor. Gerçek etki alanı veya tarayıcının bağlandığı alan, @ simgesinden sonra eklenir.”
Diğer kampanyalar, kötü amaçlı etki alanlarını gizlemek ve mağdurları Microsoft (“rnicrosoft”) gibi şirketlerle ilişkili meşru bir etki alanını ziyaret ettiklerini düşünmeleri için kandırmak için “m” yerine “rn” kullanmak gibi basit görsel aldatma hilelerine başvurdu.[.]com”), Mastercard (“rnastercard)[.]de”), Marriott (“rnarriotthotels[.]com”) ve Mitsubishi (“rnitsubishielectric[.]com”). Buna homoglif saldırısı denir.
Netcraft’tan Ivan Khamenka, “Saldırganlar genellikle bu teknik için M harfiyle başlayan markaları hedef alırken, en ikna edici alanlardan bazıları, kelimelerin içindeki ‘m’ harfini ‘rn’ ile değiştirmekten geliyor.” dedi. “Bu teknik, kuruluşların genellikle markalarının, alt alanlarının veya hizmet tanımlayıcılarının bir parçası olarak kullandıkları kelimelerde göründüğünde daha da tehlikeli hale geliyor. E-posta, mesaj, üye, onay ve iletişim gibi terimlerin tümü, kullanıcıların zar zor işleyebildiği orta kelime m’lerini içerir.”