Yazılım geliştirme şirketi Retool, hedefli ve SMS tabanlı bir sosyal mühendislik saldırısının ardından 27 bulut müşterisinin hesabının ele geçirildiğini açıkladı.
San Francisco merkezli firma, yakın zamanda Nisan 2023’te tanıtılan bir Google Hesabı bulut senkronizasyon özelliğini, ihlali daha da kötüleştirmekle suçladı ve bunu “karanlık bir model” olarak nitelendirdi.
Retool’un mühendislik başkanı Snir Kodesh, “Google Authenticator’ın bulutla senkronize olması yeni bir saldırı vektörüdür” dedi. “Başlangıçta uyguladığımız şey çok faktörlü kimlik doğrulamaydı. Ancak bu Google güncellemesiyle, önceden çok faktörlü kimlik doğrulama (yöneticilere göre) sessizce tek faktörlü kimlik doğrulamaya dönüştü.”
Retool, 27 Ağustos 2023’te meydana gelen olayın şirket içi veya yönetilen hesaplara yetkisiz erişime izin vermediğini söyledi. Bu aynı zamanda şirketin oturum açma bilgilerini Okta’ya taşımasıyla da aynı zamana denk geldi.
Her şey, tehdit aktörlerinin BT ekibinin bir üyesi gibi davrandığı ve alıcılara maaş bordrosu ile ilgili bir sorunu çözmek için görünüşte meşru bir bağlantıya tıklamaları talimatını verdiği, çalışanlarını hedef alan bir SMS kimlik avı saldırısıyla başladı.
Bir çalışan, kimlik avı tuzağına düştü ve bu da onları, kimlik bilgilerini teslim etmeleri için kandıran sahte bir açılış sayfasına yönlendirdi. Saldırının bir sonraki aşamasında, bilgisayar korsanları çalışanı aradı ve çok faktörlü kimlik doğrulama (MFA) kodunu elde etmek için “gerçek sesini” derin taklit ederek yine BT ekibi çalışanı gibi davrandı.
Kodesh, “Çağrı sırasında paylaşılan ek OTP tokenı kritikti, çünkü saldırganın kendi kişisel cihazını çalışanın Okta hesabına eklemesine olanak tanıdı ve bu da onların bu noktadan itibaren kendi Okta MFA’larını üretmelerine olanak sağladı.” dedi. “Bu onların etkin bir G Suite’e sahip olmalarını sağladı [now Google Workspace] bu cihazdaki oturum.”
Çalışanın aynı zamanda Google Authenticator’ın bulut senkronizasyon özelliğini de etkinleştirmiş olması, tehdit aktörlerinin dahili yönetici sistemlerine daha yüksek erişim elde etmesine ve kripto endüstrisindeki 27 müşteriye ait hesapları etkili bir şekilde ele geçirmesine olanak tanıdı.
Saldırganlar sonuçta bu kullanıcıların e-postalarını değiştirdi ve şifrelerini sıfırladı. CoinDesk’in bildirdiğine göre, etkilenen kullanıcılardan biri olan Fortress Trust, hack sonucunda 15 milyon dolara yakın kripto paranın çalındığını gördü.
Kodesh, “Çünkü Okta hesabının kontrolü Google hesabının kontrolüne yol açtı ve bu da Google Authenticator’da saklanan tüm OTP’lerin kontrolüne yol açtı.” dedi.
Bu karmaşık saldırı, tek seferlik kodları bulutla senkronize etmenin “kullanıcının sahip olduğu bir şey” faktörünü ortadan kaldırabileceğini, kullanıcıların kimlik avı saldırılarını yenmek için FIDO2 uyumlu donanım güvenlik anahtarlarına veya geçiş anahtarlarına güvenmelerini gerektirdiğini gösteriyor.
Bilgisayar korsanlarının kesin kimliği açıklanmasa da işleyiş tarzı, karmaşık kimlik avı taktikleriyle bilinen Dağınık Örümcek (namı diğer UNC3944) olarak takip edilen, finansal motivasyona sahip bir tehdit aktörününkiyle benzerlikler gösteriyor.
Kimlik Yeni Uç Noktadır: Modern Çağda SaaS Güvenliğinde Uzmanlaşmak
Adaptive Shield CEO’su Maor Bin ile SaaS güvenliğinin geleceğine derinlemesine dalın. Kimliğin neden yeni uç nokta olduğunu keşfedin. Hemen yerinizi ayırtın.
Becerilerinizi Güçlendirin
Mandiant geçen hafta yaptığı açıklamada, “Şüpheli UNC3944 kimlik avı etki alanlarının analizine dayanarak, tehdit aktörlerinin bazı durumlarda dahili sistemler hakkında bilgi edinmek için kurban ortamlarına erişimi kullandıkları ve bu bilgileri daha özelleştirilmiş kimlik avı kampanyalarını kolaylaştırmak için kullandıkları makuldür” dedi. .
“Örneğin bazı durumlarda tehdit aktörlerinin, iç sistemlerin adlarını içeren yeni kimlik avı alanları oluşturduğu ortaya çıktı.”
Deepfake’lerin ve sentetik medyanın kullanımı, ABD hükümetinin, ses, video ve metin deepfake’lerinin, iş e-postasının ele geçirilmesi (BEC) saldırıları da dahil olmak üzere çok çeşitli kötü amaçlı amaçlarla kullanılabileceği konusunda uyarıda bulunan yeni bir tavsiye belgesinin de konusu oldu ve kripto para dolandırıcılığı.