Dünya çapında kuruluşlar, Microsoft 365 ve Google hesaplarını özellikle ortada (AITM) olarak bilinen gelişmiş bir teknikle hedefleyen gelişmiş kimlik avı saldırılarında benzeri görülmemiş bir artışla karşı karşıya.
Bu saldırılar, siber suçlu taktiklerde önemli bir evrimi temsil ederek, kimlik doğrulama oturumlarını engellemek ve kuruluşların güvenliğe dayandığı çok faktörlü kimlik doğrulama korumalarını atlamak için sofistike ters proxy sunucularından yararlanıyor.
AITM tekniği, kurbanlar ve meşru kimlik doğrulama hizmetleri arasında kötü amaçlı sunucular konumlandırarak temel olarak geleneksel kimlik avından farklıdır.
.png
)
Kullanıcılar, meşru bir Microsoft veya Google Giriş sayfası gibi görünen şeylerle hesaplarına giriş yapmaya çalıştıklarında, AITM sunucusu aynı zamanda oturum çerezlerini toplarken kimlik bilgilerini gerçek kimlik doğrulama API’sına aktarır.
Kalan bu oturum verileri, saldırganların ek kimlik doğrulama zorluklarını tetiklemeden mağdur hesaplarına tam erişim elde etmelerini sağlar ve bu sofistike saldırılara karşı çok faktörlü kimlik doğrulamasını etkili bir şekilde işe yaramaz hale getirir.
Sekoia analistleri, tehdit manzarasının 2023’ten bu yana dramatik değişiklikler yaşadığını ve siber suçluların hızla yeni saldırı vektörlerini ve dağıtım yöntemlerini benimsediğini belirledi.
Araştırma ekibinin kapsamlı izlemesi, tehdit aktörlerinin öncelikle, kimlik avı bağlantılarını dağıtmak için giderek daha gelişmiş HTML eklerine ve kötü amaçlı SVG dosyalarına belgelere gömülü QR kodlarını kullanmaktan geliştiğini ortaya koydu.
Bu taktik evrim, siber suçlu operasyonların uyarlanabilirliğini ve geleneksel güvenlik önlemlerinin önünde kalma yeteneklerini göstermektedir. Bu saldırıların finansal etkisi ilk hesap uzlaşmasının çok ötesine uzanmaktadır.
Saldırganlar bulut hesaplarına eriştikten sonra, dahili mızrak aktarma kampanyaları, veri açığa çıkma ve bankacılık ayrıntılarını değiştirme veya hileli faturalar düzenleme gibi çeşitli finansal sahtekarlık biçimleri de dahil olmak üzere iş e -posta uzlaşma operasyonlarını başlatmadan önce kapsamlı bir keşif yaparlar.
Bu takip saldırılarının kapsamlı doğası genellikle hedeflenen kuruluşlar için önemli finansal kayıplara neden olur ve bazı saldırılar ileri süren tehdit senaryolarına ve hatta fidye yazılımı dağıtımlarına yol açar.
Hizmet olarak kimlik avı platformlarının çoğalması, AITM saldırılarının yürütülmesi için girişin engelini önemli ölçüde düşürdü.
%20operations%20for%20AitM%20phishing%20kits%20(Source%20-%20Sekoia).webp)
Aylık 100 $ ila 1.000 $ arasında değişen bu abonelik tabanlı hizmetler, siber suçlulara e-posta şablonları, anti-bot korumaları, yönetim panelleri ve Telegram gibi mesajlaşma platformlarına otomatik veri yönlendirme dahil olmak üzere anahtar teslim kimlik avı özellikleri sağlar.
Gelişmiş kimlik avı araçlarının bu demokratikleştirilmesi, teknik olarak deneyimsiz suçluların bile kurumsal hedeflere karşı sofistike saldırılar yapmalarını sağladı.
Gelişmiş enfeksiyon mekanizmaları ve kaçırma teknikleri
Modern AITM saldırılarının teknik karmaşıklığı, mağdur hedefleme ve güvenlik kaçakçılığına çok katmanlı yaklaşımlarında yatmaktadır.
Çağdaş kampanyalar genellikle finansal bildirimler, insan kaynakları iletişimi veya BT güvenlik güncellemeleri gibi kurumsal senaryolardan yararlanan özenle hazırlanmış sosyal mühendislik yemleriyle başlar.
Bu ilk iletişim genellikle JavaScript veya XLink: HREF atfiklerini içeren kötü niyetli SVG ekleri içerir: Nihai Kimlik Avı sayfasına ulaşmadan önce kurbanları birden fazla ara adım yoluyla yönlendirmek için.
En gelişmiş AITM kitleri, kötü niyetli içeriklerinin yalnızca amaçlanan hedeflere ulaşmasını sağlamak için sofistike trafik dağıtım sistemleri ve bot karşıtı özellikler kullanır.
Bu sistemler, gelen trafiğin kurumsal güvenlik tarayıcılarından ziyade konut internet servis sağlayıcılarından kaynaklandığını, kurumsal ortamlarla tutarlı uygun işletim sistemlerini ve tarayıcıları kontrol ettiğini ve Cloudflare Turnstile veya Recaptcha gibi meşru hizmetleri kullanarak CAPTCHA zorluklarını uyguladığını doğrular.
.webp)
Tycoon 2FA platformu, BlackTDS hizmetini özellikle güvenlik analizi ortamlarının kimlik avı sayfalarına erişmesini önlemek için entegre ederken, Mamba 2FA da benzer koruyucu amaçlar için ADSPECT TDS kullanır.
Sekoia’nın izleme metodolojisine dayanarak, şu anda aktif olan en yaygın AITM phishing kitleri, Tycoon 2FA, Nakedypages, Sinsi 2FA ve EvilProxy ile Tycoon 2FA, kapsamlı altyapı ve tespit sistemlerine yapılan sık güncellemeler nedeniyle en yüksek tehdit puanına ulaşıyor.
Herhangi biriyle tehdit tepkisini otomatikleştirin. -> Tam erişim isteyin