Kripto Para Dolandırıcılığı, Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
Microsoft OAuth Taktikleriyle İlgili Ayrıntılar: Kurban Başına Kayıpların 1,5 Milyon Dolara Ulaştığını Söyledi
Prajeet Nair (@prajeetspeaks) •
13 Aralık 2023
Microsoft’un Tehdit İstihbaratı ekibine göre bilgisayar korsanları, kullanıcı hesaplarını tehlikeye atmak, yüksek ayrıcalıkları manipüle etmek ve vermek ve bazı kuruluşlara 1,5 milyon dolara varan kayıplara neden olan kripto madenciliği operasyonları kurmak için OAuth uygulamalarından yararlanıyor.
Ayrıca bakınız: Hızlı Dijitalleşme ve Risk: Yuvarlak Masa Önizlemesi
OAuth’un bu şekilde kötüye kullanılması, saldırganların uygulamalara erişimi sürdürme yeteneğini artırır ve orijinal olarak güvenliği ihlal edilen hesabın artık mevcut olmadığı durumlarda bile bu durum devam eder.
Tek oturum açma standardı OAuth veya Açık Yetkilendirme, uygulamaların kullanıcı tarafından tanımlanan izinlere dayalı olarak verilere ve kaynaklara erişim elde etmesini sağlayan, belirteç merkezli kimlik doğrulama ve yetkilendirme protokolüdür (bkz.: Uyarı: Dikkatsiz OAuth Uygulaması Milyarlarca Doları Riske Atıyor).
Microsoft Tehdit İstihbaratı ekibi, siber tehdit aktörlerinin kimlik avı ve parola püskürtme saldırıları gerçekleştirdiğini, kimlik doğrulama önlemlerine sahip olmayan ve OAuth uygulamaları oluşturma veya değiştirme yetkisine sahip kullanıcı hesaplarını hedef aldığını gözlemledi.
Araştırmacılar, “Tehdit aktörleri, kripto para madenciliği için sanal makineler dağıtmak, iş e-postalarının ele geçirilmesinin ardından kalıcılık sağlamak ve hedeflenen kuruluşun kaynaklarını ve alan adını kullanarak spam gönderme faaliyeti başlatmak için yüksek ayrıcalıklı izinlere sahip OAuth uygulamalarını kötüye kullandı.” dedi.
Tehdit aktörü Storm-1283’ün, bir kripto madenciliği operasyonu yürütmek için güvenliği ihlal edilmiş bir kullanıcı hesabından yararlandığını tespit ettiler. Güvenliği ihlal edilen hesabı sanal bir özel ağ üzerinden oturum açmak için kullandı ve Microsoft Entra ID içinde yeni bir tek kiracılı OAuth uygulaması oluşturdu.
Redmond devi, bu uygulamanın Microsoft Entra ID kiracı alan adı ile çarpıcı bir benzerlik taşıdığını ve kötü niyetini kamufle ettiğini söyledi. Araştırmacılar, işlevselliğini artırmak için uygulamaya gizlice bir dizi sırrın eklendiğini söyledi.
Güvenliği ihlal edilen hesabın bir Azure aboneliğindeki sahiplik rolü, Storm-1283’ün daha fazla erişim kazanmasına da yardımcı oldu. Tehdit aktörü, hesabın ayrıcalıklarını kullanarak uygulamaya “Katkıda Bulunan” rolü izinleri vererek uygulamaya aktif aboneliklerden birine erişme ve bunları yönetme yetkisi verdi.
Bilgisayar korsanları daha sonra kiracı içindeki ele geçirilen kullanıcı hesabının erişebildiği önceden var olan iş kolu OAuth uygulamalarından yararlandı. Bunu, bu uygulamaların yeteneklerini artırmak için ek bir kimlik bilgileri seti sunarak başardılar.
Aktör, güvenliği ihlal edilen aynı abonelikler içerisinde sınırlı sayıda sanal makine konuşlandırdı ve mevcut uygulamalardan birini kullanarak kripto madencilik operasyonlarını başlattı. Daha sonra oyuncu sahneyi yeniden ziyaret etti ve yeni oluşturulan uygulamayı kullanarak ek VM’ler dağıttı.
Microsoft, “Hedeflenen kuruluşlar, saldırganın etkinliğine ve saldırının süresine bağlı olarak saldırılardan 10.000 ila 1,5 milyon ABD Doları arasında değişen işlem ücretine maruz kaldı” dedi.
Storm-1283, başarılı kripto madenciliği operasyonlarının olasılığını artırmak için yapılandırmayı uzun bir süre uzatmayı amaçladı. Aktör, şüpheyi azaltmak için sanal makineler için stratejik olarak özel bir adlandırma kuralı kullandı. [DOMAINNAME][ZONENAME][1-9]kiracı adını ve ardından bölge adını içeren bir formattır.
Microsoft, bu aktörün davranışını, Azure Resource Manager denetim günlüklerinde VM oluşturmayı izleyerek ve bir OAuth uygulaması tarafından gerçekleştirilen “Microsoft.Compute/virtualMachines/write” etkinliğini arayarak tanıdığını söyledi. Aktörün kullandığı adlandırma kuralı zamanla değişebilir ancak yine de “doğu|batı|güney|kuzey|orta|japonya|fransa|avustralya|kanada|kore|uk|polonya| gibi alan adını veya bölge adlarını içerebilir. Brezilya” dedi araştırmacılar.
Microsoft, bu etkinliği tespit ettiğini ve bu saldırıda yer alan OAuth uygulamalarını etkisiz hale getirmek için Microsoft Entra ekibiyle işbirliği yaptığını söyledi. Şirket ayrıca, etkilenen kuruluşları bu kötü niyetli faaliyet hakkında bilgilendirdiğini ve dijital altyapılarını korumak için daha ileri adımlara yönelik önerilerde bulunduğunu da belirtti.
Microsoft ayrıca, tehdit aktörlerinin kullanıcı hesaplarını nasıl ele geçirdiğini ve mali amaçlı saldırılar için OAuth uygulamalarını nasıl kötüye kullandığını ayrıntılı olarak açıkladı ve kuruluşlara bu tür saldırıları azaltmaya yönelik tavsiyelerin ana hatlarını çizdi.
Şirket ayrıca Microsoft’un BEC ve kimlik avı için OAuth uygulamalarına yönelik ilgili etkinlikleri ve spam etkinlikleri, azaltma adımları, ilgili tekniklere yönelik algılamalar ve tehdit avlama rehberliği hakkında ayrıntılı bilgiler sağladı.