Microsoft’un Dijital Suçlar Birimi (DCU), Mısır’ın hizmet olarak kimlik avı operasyonu “ONNX” tarafından kullanılan 240 sahte web sitesini çökertti.
İnternette “MRxC0DER” olarak da bilinen Abanoub Nady, sahte “ONNX” kimliği altında “kendin yap” kimlik avı kitleri oluşturup pazarladı.
Bu kitler çok sayıda siber suçlu ve çevrimiçi tehdit aktörü tarafından satın alındı ve bunlar daha sonra bunları güvenlik önlemlerini aşmak ve Microsoft kullanıcı hesaplarına erişmek için kapsamlı kimlik avı kampanyalarında kullandı.
Finansal hizmetler sektörü, işlediği hassas veriler ve işlemler nedeniyle agresif bir şekilde hedef alınıyor. Bazı durumlarda, başarılı bir kimlik avının kurbanları gerçek dünyada korkunç sonuçlara maruz kalabilir.
Sonuç olarak, hayat tasarrufları da dahil olmak üzere önemli miktarda para kaybolabilir ve bir kez çalındıktan sonra geri getirilmesi son derece zor olabilir.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Hileli ONNX Operasyonuna Genel Bakış
Microsoft, 2017’nin başlarında Abanoub Nady’nin operasyonuyla bağlantılı faaliyetleri izliyordu. Nady, ONNX ticari markasını sahtekarlıkla kullanmanın yanı sıra, DCU’nun tanık olduğu “Kafein” ve daha yakın zamanda “FUHRER” isimleri altında da faaliyet gösterdi.
Kimlik avı kitleri özellikle koordineli kimlik avı saldırıları için yapılmıştır ve büyük miktarlarda e-posta göndermeyi amaçlamaktadır.
Abonelik modelinin bir örneği, farklı düzeylerde erişim ve yardım karşılığında Temel, Profesyonel ve Kurumsal abonelikler satan sahtekar ONNX kuruluşudur.
Siber suç işlemek için kimlik avı kitlerinin başarılı bir şekilde nasıl kullanılacağına ilişkin ayrıntılı talimatlar sunan, etkili bir şekilde sürekli teknik destek olan “Sınırsız VIP Desteği” eklenti seçeneği de kurumsal kullanıcılara sunulmaktadır.
Siber suçlular, bir kit satın aldıktan sonra, kendi kimlik avı saldırılarını gerçekleştirmek için sağlanan şablonları ve sahte ONNX teknolojik olanaklarını kullanabilir.
Başka yerden satın aldıkları alan adlarını kullanarak sahte ONNX teknik altyapısına bağlanarak kimlik avı operasyonlarını genişletip ölçeklendirebilirler.
Bu yılki Microsoft Dijital Savunma Raporu’na göre sahte ONNX operasyonları, 2024’ün ilk yarısında e-posta hacmine göre ilk beş kimlik avı kiti sağlayıcısından biri oldu.
Bunlar daha büyük “Hizmet Olarak Kimlik Avı” (PhaaS) sektörünün bir parçasıdır. Abanoub Nady ve arkadaşları, tıpkı e-ticaret şirketlerinin yaptığı gibi, yasadışı tekliflerini pazarlamak ve satmak için sahte “ONNX Mağazası” gibi markalı vitrinleri kullandılar.
DCU, bu iyi bilinen hizmete saldırarak ve yasa dışı siber suçlu tedarik zincirini bozarak tüketicileri finansal dolandırıcılık, veri hırsızlığı ve fidye yazılımı gibi çeşitli alt tehditlere karşı koruyor.
Microsoft’un bu yılki Dijital Savunma Raporu’na göre şirket yalnızca bu AiTM tehditlerinde %146’lık bir artış gördü.
ABD komisyoncu-satıcılarını düzenleyen kar amacı gütmeyen öz denetim kurumu FINRA tarafından yakın zamanda halka açık bir Siber Uyarı yayınlandı ve üyelerini hileli ONNX şeması tarafından yönlendirilen AiTM saldırılarındaki artış konusunda uyardı.
Bu uyarıda FINRA, bilgisayar korsanlarının siber güvenlik önlemlerini aşmak için kullandığı QR kodu kimlik avı veya kimlik avı gibi yeni yöntemleri özetledi.
Bir kullanıcı gömülü bir QR kodunu taradığında, “Quishing” onu kötü amaçlı kimliğe bürünme etki alanlarına, genellikle kimlik bilgileri sağlamalarının istendiği sahte oturum açma sayfalarına götürmek için kullanır.
Microsoft analistleri, Eylül 2023’ten itibaren QR kodları kullanan kimlik avı girişimlerinde (tüm e-posta kimlik avı saldırılarının neredeyse dörtte birine) keskin bir artış olduğunu fark etti.
Steven Masada, Genel Danışman Yardımcısı, Microsoft’un Dijital Direktörü: “Her durumda hedefimiz, kötü aktörleri faaliyet göstermek için gereken altyapıdan ayırarak müşterileri korumak ve giriş engellerini ve iş yapma maliyetini önemli ölçüde artırarak gelecekteki siber suçlu davranışlarını caydırmaktır” Suçlar Birimi.
“Gerçek kayıtlı “ONNX” adı ve logosunun ticari marka sahibi olan müdahil davacı LF (Linux Foundation) Projects, LLC de bize katılıyor”.
Kötü aktörlerin saldırılarına daha fazla geçerlilik kazandırmak için isimlerimizi ve ticari markalarımızı hukuka aykırı bir şekilde kullanmasını çaresizce izlemek yerine, her yerdeki internet kullanıcılarını savunmak için proaktif adımlar atmak üzere birlikte çalıştığımızı ekledi.
Siber suçlular taktiklerini geliştirmeye devam ederken şirketlerin ve bireylerin bilgili ve dikkatli olmaları gerekiyor.
Bu nedenle, bilgisayar korsanlarının kullandığı stratejileri anlayarak ve güçlü güvenlik önlemleri alarak daha güvenli bir çevrimiçi ortam oluşturmak için hep birlikte çalışabiliriz.
SOC/DFIR Ekiplerinden misiniz? – ANY.RUN ile Kötü Amaçlı Yazılımları ve Kimlik Avını Analiz Edin -> Ücretsiz Deneyin