Kimlik Avı Koruması, DMARC, Dolandırıcılık Yönetimi ve Siber Suçlar, Sosyal Mühendislik
Darktrace, Dropbox'ta Saklanan PDF'de Gizli Kötü Amaçlı Yazılımlara Karşı Uyardı
Prajeet Nair (@prajeetspeaks) •
11 Mart 2024
Kimlik avı saldırıları, popüler uygulamalardan yararlanmaya uyum sağlamaya devam ediyor. Pek çok kimlik avı kampanyası mobil bankacılık ve ödeme sitelerine odaklanırken, saldırganlar aynı zamanda her yerde bulunan Dropbox depolama platformu gibi yaygın olarak kullanılan ancak daha düşük profilli, bulut tabanlı hizmetleri de hedefliyor.
Ayrıca bakınız: İsteğe Bağlı Web Semineri | Üçüncü Taraf Riski, ChatGPT ve Deepfakes: Günümüzün Tehditlerine Karşı Savunma
Darktrace araştırmacıları yakın zamanda müşterilerinden birine yönelik hedefli bir kimlik avı saldırısında Dropbox'ın kötü niyetli bir şekilde istismar edildiğini gözlemledi.
Ocak ayında Darktrace, bir Darktrace müşterisinin çalışanlarının meşru bir Dropbox adresinden görünüşte zararsız e-postalar almasını içeren karmaşık bir saldırıyı yakaladı. Saldırganlar e-postaya kötü amaçlı bir bağlantı yerleştirmiş ve müşterinin Hizmet Olarak Yazılım ortamına tehdit oluşturmuştu.
En son kampanyada saldırganlar, farkında olmadan kötü amaçlı yazılım indirmeleri veya oturum açma kimlik bilgileri gibi hassas bilgileri ifşa etmeleri için hedefleri kandırmak amacıyla Dropbox'ın meşru altyapısıyla ilişkili güveni istismar etti.
Ocak 2024'te Darktrace/Email, 'no-reply@dropbox'tan gelen şüpheli bir e-posta tespit etti[.]com, görünüşte meşru bir Dropbox adresi. Darktrace, e-postanın hedeflenen alıcılara ulaşmasını önlemek için derhal harekete geçti.
Kimlik avı saldırısının ilk bulaşma aşaması, Darktrace'teki araştırmacıların müşterinin SaaS ortamındaki dahili bir kullanıcının meşru 'no-reply@dropbox'tan gelen bir e-posta aldığını gözlemlediği 25 Ocak'ta ortaya çıktı.[.]com' adresi. Görünüşte zararsız olan bu e-postayı şüpheli hale getiren şey, içine yerleştirilmiş ve Dropbox'a gönderilen bir PDF dosyasına yönlendiren bir bağlantıydı.
Hem e-postanın hem de Dropbox uç noktasının meşruluğuna rağmen Darktrace bir tehlike işareti tespit etti: PDF dosyası 'mmv-security' adlı bir alana bağlantı içeriyordu[.]üst', müşterinin ortamında daha önce görülmemiş. 'Yanıt yok@dropbox' gibi sabit adreslerden gönderilen e-postaların otomatik yapısı[.]com', tehdit aktörleri tarafından SaaS kullanıcılarını kötü amaçlı bağlantıları takip etmeye ikna etmek için sıklıkla kullanılan bir taktiktir.
Araştırmacılar ayrıca 'mmv güvenliğinin[.]top', birden fazla güvenlik sağlayıcısının kimlik avı bağlantıları için rapor ettiği yeni oluşturulmuş bir uç noktaydı. 29 Ocak'ta kullanıcı 'no-reply@dropbox'tan başka bir meşru e-posta aldı[.]com' mesajı görüntülenir ve kullanıcıya daha önce paylaşılan PDF dosyasını açması hatırlatılır.
Kullanıcının gereksiz dosyasına taşınmasına ve Darktrace/Email tarafından bir bağlantı kilitleme eylemi uygulanmasına rağmen, çalışan e-postayı açtı ve PDF dosyasının bağlantısını takip ederek kötü amaçlı uç noktayla bağlantı kurulmasına yol açtı.
Bu, tehdit aktörlerinin 'mmv-güvenlik'e bağlanarak kullanıcıyla ilişkili dahili cihazı tehlikeye atmasına olanak tanıdı.[.]üst' uç nokta. Darktrace'in sonraki gözlemleri, çok sayıda alışılmadık SaaS oturum açma, konumları maskelemek için VPN hizmetlerinin kullanılması ve ele geçirilen Outlook hesabındaki kötü amaçlı etkinlikleri gizlemek için e-posta kuralları oluşturma gibi bir dizi şüpheli etkinliği ortaya çıkardı.
Darktrace'in hızlı tespit ve müdahalesi güvenlik açığını kontrol altına alsa da olay, kuruluşların, güvenilir hizmetleri kendi kötü amaçları doğrultusunda kullanan kötü niyetli aktörlerin gelişen taktiklerine karşı koymak için gelişmiş tehdit tespiti ve otonom müdahale mekanizmaları da dahil olmak üzere kapsamlı siber güvenlik önlemleri alma ihtiyacını ortaya koyuyor.