Microsoft, bankacılık ve finansal hizmetler kuruluşlarının yeni bir çok aşamalı ortadaki düşman (AitM) kimlik avı ve iş e-postası ele geçirme (BEC) saldırısının hedefleri olduğunu açıkladı.
Teknoloji devi Perşembe günü yayınladığı bir raporda, “Saldırı, güvenliği ihlal edilmiş güvenilir bir satıcıdan kaynaklandı ve bir dizi AiTM saldırısına ve birden fazla kuruluşu kapsayan devam eden BEC etkinliğine dönüştü.”
Kümeyi ortaya çıkan lakabıyla izleyen Microsoft Fırtına-1167grubun saldırıyı gerçekleştirmek için dolaylı proxy kullandığını söyledi.
Bu, saldırganların kimlik avı sayfalarını hedeflerine göre esnek bir şekilde uyarlamalarına ve oturum çerezi hırsızlığı gerçekleştirmelerine olanak tanıdı ve AitM saldırılarının devam eden karmaşıklığının altını çizdi.
İşleyiş tarzı, sahte sayfaların, kurbanlar tarafından girilen kimlik bilgilerini ve zamana dayalı tek seferlik parolaları (TOTP’ler) toplamak için ters bir proxy işlevi gördüğü diğer AitM kampanyalarından farklıdır.
Microsoft, “Saldırgan, bir bulut hizmetinde barındırılan geleneksel kimlik avı saldırılarında olduğu gibi, hedeflenen uygulamanın oturum açma sayfasını taklit eden bir web sitesi ile hedeflere ulaştı” dedi.
“Söz konusu oturum açma sayfası, kurbanın kimlik bilgilerini kullanarak hedef uygulamanın kimlik doğrulama sağlayıcısıyla bir kimlik doğrulama oturumu başlatan, saldırgan tarafından kontrol edilen bir sunucudan yüklenen kaynaklar içeriyordu.”
Saldırı zincirleri, tıklandığında kurbanı sahte bir Microsoft oturum açma sayfasını ziyaret etmeye ve kimlik bilgilerini ve TOTP’leri girmeye yönlendiren bir bağlantıya işaret eden bir kimlik avı e-postasıyla başlar.
Toplanan parolalar ve oturum tanımlama bilgileri daha sonra kullanıcının kimliğine bürünmek ve bir tekrar saldırısı yoluyla e-posta gelen kutusuna yetkisiz erişim elde etmek için kullanılır. Erişim daha sonra hassas e-postaları ele geçirmek ve bir BEC saldırısı düzenlemek için kötüye kullanılır.
Ayrıca dikkat çekmeden çalınan kimlik bilgileriyle giriş yapmak için hedef hesaba SMS tabanlı iki faktörlü yeni bir kimlik doğrulama yöntemi eklendi.
Microsoft tarafından analiz edilen olayda, saldırganın toplu bir istenmeyen e-posta kampanyası başlatarak, güvenliği ihlal edilmiş kullanıcının kuruluş içindeki ve dışındaki kişilerine ve dağıtım listelerine 16.000’den fazla e-posta gönderdiği söyleniyor.
Düşmanın ayrıca, gelen e-postaları yanıtlayarak algılamayı en aza indirmek ve kalıcılık sağlamak için adımlar attığı ve ardından bunları posta kutusundan silmek için adımlar attığı gözlemlendi.
Nihayetinde, kimlik avı e-postalarının alıcıları, kimlik bilgilerini çalmak ve AitM saldırısı sonucunda hesabı hacklenen kullanıcılardan birinin e-posta gelen kutusundan başka bir kimlik avı kampanyasını tetiklemek için ikinci bir AitM saldırısı tarafından hedeflenir.
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlama
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
Oturuma Katılın
Şirket, “Bu saldırı, satıcılar, tedarikçiler ve diğer ortak kuruluşlar arasındaki güvenilir ilişkileri finansal dolandırıcılık amacıyla kötüye kullanan AiTM ve BEC tehditlerinin karmaşıklığını gösteriyor” diye ekledi.
Gelişme, Microsoft’un BEC saldırılarında bir artış ve endüstriyel ölçekte kötü amaçlı posta kampanyaları oluşturmak için BulletProftLink gibi platformların kullanımı da dahil olmak üzere siber suçlular tarafından kullanılan gelişen taktikler konusunda uyarmasından bir aydan kısa bir süre sonra geldi.
Teknoloji devi, başka bir taktiğin, saldırı kampanyalarının yerel olarak oluşturulmuş gibi görünmesini sağlamak için konut internet protokolü (IP) adreslerinin kullanılmasını gerektirdiğini söyledi.
Redmond, “BEC tehdit aktörleri daha sonra, kurbanın konumuyla eşleşen konut IP hizmetlerinden IP adresleri satın alarak, siber suçluların kökenlerini gizlemelerini sağlayan konut IP proxy’leri oluşturuyor” dedi.
“Artık, kullanıcı adları ve parolaların yanı sıra kötü amaçlı faaliyetlerini desteklemek için yerelleştirilmiş adres alanıyla donanmış olan BEC saldırganları, hareketleri gizleyebilir, ‘imkansız seyahat’ işaretlerini atlatabilir ve daha fazla saldırı gerçekleştirmek için bir ağ geçidi açabilir.”