Microsoft, savunmadan kaçınma taktiği olarak kurumsal ortamlarda yaygın olarak kullanılan SharePoint, OneDrive ve Dropbox gibi meşru dosya barındırma hizmetlerini kötüye kullanan siber saldırı kampanyalarına karşı uyarıyor.
Kampanyaların nihai hedefi geniş ve çeşitlidir; tehdit aktörlerinin kimlikleri ve cihazları ele geçirmesine ve iş e-postası ihlali (BEC) saldırıları gerçekleştirmesine olanak tanıyarak sonuçta finansal dolandırıcılık, veri hırsızlığı ve diğer uç noktalara yanal hareketle sonuçlanır.
Meşru internet hizmetlerinin (LIS) silah haline getirilmesi, rakipler tarafından, genellikle geleneksel güvenlik savunmalarını atlayacak ve ilişkilendirme çabalarını karmaşıklaştıracak şekilde meşru ağ trafiğine karışmak için benimsenen, giderek daha popüler hale gelen bir risk vektörüdür.
Bu yaklaşım, e-posta güvenlik korkuluklarını atlatmak ve kötü amaçlı yazılım dağıtmak için bu hizmetlerin güvenini ve bilinirliğini güçlendirdiğinden, güvenilen siteler dışında yaşayan siteler (LOTS) olarak da adlandırılıyor.
Microsoft, Nisan 2024’ün ortasından bu yana, sınırlı erişime ve salt görüntüleme kısıtlamalarına sahip dosyaları içeren, meşru dosya barındırma hizmetlerinden yararlanan kimlik avı kampanyalarında yeni bir eğilim gözlemlediğini söyledi.
Bu tür saldırılar genellikle, güvenilir bir satıcı içindeki bir kullanıcının güvenliğinin aşılmasıyla başlar ve daha sonra hedef varlıkla paylaşmak üzere dosya barındırma hizmetindeki kötü amaçlı dosyaları ve yükleri hazırlamak için erişimden yararlanır.
“Kimlik avı e-postaları yoluyla gönderilen dosyalar yalnızca belirlenen alıcının erişebileceği şekilde yapılandırılmıştır” dedi. “Bu, alıcının Dropbox, OneDrive veya SharePoint gibi dosya paylaşım hizmetinde oturum açmasını veya bir bildirim hizmeti aracılığıyla alınan tek kullanımlık parolayla (OTP) birlikte e-posta adresini girerek yeniden kimlik doğrulaması yapmasını gerektirir. “
Dahası, kimlik avı saldırıları kapsamında paylaşılan dosyalar “salt görüntüleme” moduna ayarlanarak, dosya içindeki gömülü URL’lerin indirilmesi ve tespit edilmesi engelleniyor.
Paylaşılan dosyaya erişmeye çalışan alıcıdan, e-posta adresini ve e-posta hesabına gönderilen tek kullanımlık şifreyi girerek kimliğini doğrulaması istenir.
Başarılı bir şekilde yetkilendirildikten sonra hedefe, gerçek içeriği görüntülemek için başka bir bağlantıya tıklaması talimatı verilir. Ancak bunu yapmak, onları, şifrelerini ve iki faktörlü kimlik doğrulama (2FA) belirteçlerini çalan bir ortadaki rakip (AitM) kimlik avı sayfasına yönlendirir.
Bu, yalnızca tehdit aktörlerinin hesabın kontrolünü ele geçirmesine olanak sağlamakla kalmıyor, aynı zamanda hesabı BEC saldırıları ve mali dolandırıcılık da dahil olmak üzere diğer dolandırıcılıkları sürdürmek için de kullanıyor.
Microsoft Tehdit İstihbaratı ekibi, “Bu kampanyalar doğası gereği genel ve fırsatçı olsa da, sosyal mühendislik gerçekleştirmek, tespitten kaçınmak ve tehdit aktörlerinin diğer hesaplara ve kiracılara erişimini genişletmek için gelişmiş teknikler içeriyor” dedi.
Bu gelişme, Sekoia’nın, Microsoft 365 oturum açma sayfalarını taklit eden HTML eklerini yayan e-posta kimlik avı kampanyaları yürütmek üzere diğer tehdit aktörlerine hizmet olarak kimlik avı (PhaaS) olarak satılan Mamba 2FA adlı yeni bir AitM kimlik avı kitini ayrıntılarıyla açıklamasıyla ortaya çıktı.
Aylık 250 ABD Doları karşılığında abonelik esasına göre sunulan kit, Microsoft Entra ID, AD FS, üçüncü taraf SSO sağlayıcıları ve tüketici hesaplarını destekliyor. Mamba 2FA, Kasım 2023’ten bu yana aktif olarak kullanıma sunuldu.
Fransız siber güvenlik şirketi, “Tek seferlik kodlar ve uygulama bildirimleri gibi kimlik avına dayanıklı olmayan MFA yöntemleri için iki adımlı doğrulamaları gerçekleştiriyor” dedi. “Çalınan kimlik bilgileri ve çerezler, bir Telegram botu aracılığıyla anında saldırgana gönderiliyor.”