KnowBe4 Tehdit Laboratuvarları ekibi, kimlik bilgilerini çalmak için küresel olarak Microsoft 365 kullanıcılarını hedef alan, yeni ortaya çıkan gelişmiş bir kimlik avı kampanyasını ortaya çıkardı. KnowBe4’ün ‘Quantum Route Redirect’ adını verdiği bu güçlü yeni kimlik avı kiti, ilk olarak Ağustos ayı başında keşfedildi. Quantum Route Redirect, bir zamanlar teknik açıdan karmaşık olan kampanya akışını önemli ölçüde basitleştiren, önceden yapılandırılmış bir kurulum ve kimlik avı etki alanlarıyla birlikte gelir ve daha az vasıflı siber suçlular için kimlik avını daha da “demokratikleştirir”. Öncelikle Microsoft 365 kullanıcılarını hedef aldığı düşünülüyor.
Giriş Engellerinin Kaldırılması
Quantum Route Redirect, karmaşık bir kimlik avı kampanyası yürütmenin önündeki teknik engelleri ortadan kaldıran çeşitli yetenekleri bir araya getirir: insan trafiği ile otomatik trafik arasında otomatik olarak ayrım yapmak için davranışsal algılamayı ve manuel müdahale olmadan ziyaretçileri sıralamak için akıllı yönlendirmeyi kullanır. Ayrıca konum, cihaz türü ve tarayıcı bilgileri dahil olmak üzere kapsamlı kurban verilerini sezgisel bir formatta sunan basitleştirilmiş bir analiz panosu da sağlar. Platform aynı zamanda gerçek zamanlı izleme, kampanya performansını ve başarı ölçümlerini de içeriyor, böylece operatörlerin özel bir teknik uzmanlığa ihtiyacı yok.
KnowBe4’e göre, Hizmet Olarak Kimlik Avı (PhaaS) platformu, güvenlik araçları ile gerçek kullanıcıları ayırt etme yeteneğine sahip; birincisini meşru web sitelerine yönlendirirken ikincisini kimlik avı sürümüne gönderiyor. Bu teknik, URL tarayıcılarını ve belirli web uygulaması güvenlik duvarlarını atlamasını sağlar. Platform aynı zamanda yönlendirme kurallarını, ayarları ve yönlendirme mantığını yönetmek için bir yapılandırma paneli; trafik analizlerini gösteren kontrol panellerinin izlenmesi; ziyaretçileri otomatik olarak sıralamak için akıllı trafik yönlendirme; ve kurbanın konumu, cihaz türü ve tarayıcı bilgileri gibi ayrıntıları gösteren bir analiz panosu.
Bir Saldırı Gerçekleştirmek
Hedefin bakış açısına göre bu kampanyalar genellikle bir kimlik avı e-postasıyla başlar. Saldırganlar genellikle kurban katılımını en üst düzeye çıkarmak için tasarlanmış çeşitli tema ve taktikleri kullanarak geniş bir ağ oluştururlar. Bunlar genellikle DocuSign ve diğer anlaşma platformları gibi hizmetlerin taklit edilmesini, bordroyla ilgili dolandırıcılıkları, sahte ödeme bildirimlerini, sahte “cevapsız sesli posta” mesajlarını ve QR kodu kimlik avını (quishing olarak da bilinir) içerir.
Köprü, onu tarayan bir güvenlik aracı (bot) tarafından veya bir kişi tarafından tıklanarak ilk kez etkinleştirildiğinde, istek Quantum Route Redirect tarafından durdurulur ve işlenmek üzere gönderilir. Platformun merkezi yönlendirme motoru daha sonra, botlar ve insanlar arasında akıllıca ayrım yapmak için davranış analizini kullanarak gelen tüm trafiği analiz eder. Hem sınıflandırıcı hem de yönlendirici görevi gören motor, her istek için uygun hedefi belirler.
Trafiğin bir bottan kaynaklandığı belirlenirse güvenli bir URL’ye yönlendirilir ve gerçek kimlik avı sitesine erişim engellenir. Bu, kötü amaçlı altyapıyı güvenlik tarayıcılarının açığa çıkmasına karşı korur ve diğer algılama mekanizmaları tarafından engellenmediği sürece gerçek bir kullanıcının e-postayla etkileşime girme olasılığını artırır. Bunun tersine, ziyaretçi insan olarak tanınırsa saldırganların Microsoft 365 kimlik bilgilerini toplamaya çalıştığı gerçek kimlik avı web sitesine yönlendirilir.
Quantum Route Redirect sistemi aynı zamanda bu kampanyaları yürüten siber suçlulara idari erişim de sağlıyor ve iki kolaylaştırılmış yönetim arayüzü içeriyor: yönlendirme kurallarını, ayarları ve yönlendirme mantığını yönetmek için bir yapılandırma paneli ve kampanya performansını değerlendirmek için trafik verileri gibi analizler sunan bir ziyaretçi istatistikleri kontrol paneli.
Küresel Etki
Bu kampanya, 90 ülkedeki mağdurları başarılı bir şekilde ele geçirerek olağanüstü bir uluslararası erişim ortaya koydu. Şu ana kadar saldırıların en ağır kısmını ABD üstlendi; etkilenen kullanıcıların %76’sı ABD’ye aitken, geri kalan %24’ü dünya çapında dağıtılıyor ve bu da bu tehdidin kapsamını gerçekten küresel hale getiriyor.
Kuruluşlar Ne Yapmalı?
KnowBe4, güvenlik ekiplerine bir dizi koruyucu önlemi içeren çok katmanlı bir savunma stratejisi uygulamasını tavsiye etti. Bunlar arasında, e-posta içeriğini analiz etmek için doğal dil işleme (NLP) ve doğal dil anlayışının kullanılmasının yanı sıra URL ve yük analizi, etki alanı ve kimliğe bürünme tespiti ve polimorfik tespit teknikleri yer alır. Şüpheli e-postaları incelemek için korumalı alan kullanılabilir; sürekli izleme ise potansiyel hesap ihlallerinin belirlenmesine yardımcı olur. Gelişmiş davranış analitiği, ürün telemetrisi ve tehdit istihbaratına sahip bir insan risk yönetimi (İKY) platformu, kişiselleştirilmiş kullanıcı eğitimine olanak tanıyarak bireysel risk puanları oluşturabilir. Ayrıca, e-posta tehdit istihbaratı, güvenliği ihlal edilmiş kullanıcıları izole etmek, erişimi engellemek ve dijital adli tıp yürütmek için tasarlanmış hızlı olay müdahale prosedürleriyle desteklenen şirket çapındaki eğitim girişimlerini bilgilendirmek için kullanılmalıdır.
Kuantum Rota Yönlendirmesi: Küresel Microsoft 365 Saldırılarını Basitleştiren Kimlik Avı Aracı yazısı ilk olarak BT Güvenlik Gurusu’nda yayınlandı.