Microsoft ve Adalet Bakanlığı, en az 2017’den beri Amerika Birleşik Devletleri ve dünya çapındaki şirketleri ve bireyleri hedeflemek için hizmet olarak kimlik avı (PhaaS) platformu olan ONNX müşterileri tarafından kullanılan 240’tan fazla alan adını ele geçirdi.
Microsoft’un Dijital Savunma Raporu 2024’e göre ONNX (önceden Kafein olarak biliniyordu), 2024’ün ilk yarısında kimlik avı mesajları hacmi açısından en büyük Ortadaki Düşman (AitM) kimlik avı hizmeti oldu. On ila yüz milyonlarca kimlik avı e-postası Microsoft 365’i hedef aldı her ay hesaplar ve diğer çeşitli teknoloji şirketlerinin müşterileri.
Microsoft, BleepingComputer’a şunları söyledi: “Bu ‘kendin yap’ kitleri, Microsoft tarafından her ay gözlemlenen on ila yüz milyonlarca kimlik avı mesajının önemli bir bölümünü oluşturuyor ve sahte ONNX operasyonu, 2024’ün ilk yarısında ilk 5 tedarikçiden biri oldu.”
“Sahte ONNX operasyonu, aralarında Google, DropBox, Rackspace ve Microsoft’un da bulunduğu teknoloji sektöründeki çeşitli şirketleri hedef almak üzere tasarlanmış kimlik avı kitleri sundu.”
ONNX, aylık 150 ile 550 dolar arasında değişen çeşitli abonelik modellerini (Temel, Profesyonel ve Kurumsal) kullanarak Telegram’daki kimlik avı kitlerini tanıttı ve sattı.
Yine Telegram botları aracılığıyla kontrol edilen saldırılar, yerleşik iki faktörlü kimlik doğrulama (2FA) atlama mekanizmalarıyla geldi ve en son, QR kodu kimlik avı kullanarak finans şirketlerinin çalışanlarını (bankalar, kredi birliği hizmet sağlayıcıları ve özel finansman şirketlerindeki) hedef aldı ( (aynı zamanda bastırma) taktikleri olarak da bilinir.
Bu e-postalar, potansiyel kurbanları yasal Microsoft 365 oturum açma sayfalarına benzeyen sayfalara yönlendiren ve kimlik bilgilerini girmelerini isteyen, kötü amaçlı QR kodları içeren PDF ekleri içeriyordu.
ABD menkul kıymetler sektörü düzenleyicisi FINRA, “Tehdit aktörleri, kurbanların genellikle kişisel mobil cihazlarındaki QR kodlarını (şirketlerinin Kendi Cihazınızı Getirin (BYOD) programının bir parçası olarak, kurbanın ticari amaçlarla kullanabileceği) tarayacağından, yok etme saldırılarından yararlanıyor” dedi. yakın zamanda yapılan bir uyarıda da uyarıldı. “Sonuç olarak, bu saldırıların tipik uç nokta tespitiyle izlenmesi son derece zordur.”
Kimlik avı kitleri, 2FA isteklerini engelleyerek iki faktörlü kimlik doğrulamayı (2FA) atlamaya yardımcı olduğundan, ONNX kullanan siber suçlular, saldırılarını gerçekleştirmede özellikle etkili oldu. Ayrıca, kimlik avı alan adlarının kaldırılmasını geciktiren kurşun geçirmez barındırma hizmetlerini ve sayfa yükleme sırasında kendi şifresini çözen şifrelenmiş JavaScript kodunu kullanarak kimlik avı önleme tarayıcılarının tespitinden kaçınmak için ekstra bir gizleme katmanı eklerler.
Microsoft’un Dijital Suçlar Birimi Genel Danışman Yardımcısı Steven Masada, “Bu saldırılar, güvenlik ve tarama özelliklerinde okunamayan bir görüntü olarak göründüklerinden siber güvenlik sağlayıcıları için benzersiz bir zorluk teşkil ediyor” dedi.
ONNX operasyonları, Dark Atlas güvenlik araştırmacılarının sahibinin Abanoub Nady (çevrimiçi olarak MRxC0DER olarak da bilinir) kimliğini keşfedip açıklamasının ardından Haziran ayında aniden durduruldu.
“Bugün Virginia’nın Doğu Bölgesi’nde açıklanan bir hukuk mahkemesi emriyle bu eylem, kötü niyetli teknik altyapıyı Microsoft’a yönlendiriyor, sahte ONNX operasyonu ve onun siber suç müşterileri de dahil olmak üzere tehdit aktörlerinin erişimini kesiyor ve bu etki alanlarının kullanımını kalıcı olarak durduruyor. Gelecekte kimlik avı saldırıları olacak” diye ekledi Masada.
“Her durumda amacımız, kötü niyetli aktörleri faaliyet göstermek için gereken altyapıdan ayırarak müşterileri korumak ve giriş engellerini ve iş yapma maliyetini önemli ölçüde artırarak gelecekteki siber suçlu davranışlarını caydırmaktır. Müdahil davacı LF (Linux) da bize katılıyor. Foundation) Projects, LLC, gerçek tescilli ‘ONNX’ adının ve logosunun ticari marka sahibidir.”
Ekim ayında Microsoft ve Adalet Bakanlığı, ABD hükümeti çalışanlarına ve Rus kar amacı gütmeyen kuruluşlara yönelik hedef odaklı kimlik avı saldırılarında kullanılan 100’den fazla alanı ele geçirerek Rus ColdRiver FSB hackerlarının saldırı altyapısını da bozdu.
Geçtiğimiz Aralık ayında şirketin Dijital Suçlar Birimi, 750 milyondan fazla sahte Microsoft e-posta hesabını kaydeden ve bunları diğer siber suçlulara satarak milyonlar elde eden büyük bir hizmet olarak siber suç sağlayıcısına (Storm-1152) karşı da harekete geçti.