Rus devlet destekli ileri kalıcı tehdit (APT) Grubu Storm-2372, çok faktörlü kimlik doğrulamayı (MFA) atlamak ve hükümetler, STK’lar ve kritik endüstriler arasında yüksek değerli hedeflere sızmak için cihaz kodu kimlik avlamasını kullandı.
Ağustos 2024’ten bu yana, bu grup OAuth cihaz yetkilendirme akışını – meşru bir kimlik doğrulama mekanizması – kullanıcı oturumlarını ele geçirmek ve hassas verileri yaymak için silahlandırdı.
Microsoft Tehdit İstihbarat Araştırmacıları, Sokradar ve Volexity gibi siber güvenlik firmalarının yanı sıra, bu saldırıları Avrupa, Kuzey Amerika, Afrika ve Orta Doğu’daki stratejik sektörlere kadar takip ettiler ve kimlik temelli tehditlerin artan karmaşıklığını vurguladı.
.png
)
Aygıt kodu kimlik avı, akıllı TV’ler veya yazıcılar gibi sınırlı giriş özelliklerine sahip cihazlar için tasarlanmış bir protokol olan OAuth cihaz yetkilendirme akışından yararlanır.
Saldırganlar, Microsoft Azure gibi platformlar aracılığıyla meşru bir cihaz kodu oluşturur ve e -posta, SMS veya ekipler, whatsapp veya sinyal gibi mesajlaşma uygulamaları yoluyla acil toplantı davetleri olarak gizlenmiş kimlik avı yemlerine gömülür.
Mağdurlar gerçek bir oturum açma portalına (örneğin Microsoft’un kimlik doğrulama sayfası) yönlendirilir ve saldırgan tarafından sağlanan koda girmeye istenir.
Gönderildikten sonra, saldırgan ortaya çıkan erişim ve yenileme jetonlarını yakalar ve MFA zorluklarını tetiklemeden kurbanın hesabına kalıcı erişim sağlar.
Bu tekniğin etkinliği, güvenilir arayüzleri kötüye kullanmasında yatmaktadır. Sahtekarlıklı oturum açma sayfalarına dayanan geleneksel kimlik avının aksine, cihaz kodu kimlik avı meşru kimlik doğrulama iş akışlarından yararlanır ve algılamayı son derece zorlaştırır.
Microsoft tarafından belirtildiği gibi, Storm-2372’nin kampanyaları genellikle ekipler toplantı davetleri gibi kurumsal iletişim şablonlarını, hedefleri yanlış bir güvenlik duygusuna dönüştürmek için taklit eder.
Yakalanan jetonlar, ağlar içindeki yanal hareketi etkinleştirerek saldırganların e -postaları kazımasına, ek hesaplardan ödün vermesine ve Microsoft Graph API’si üzerinden verileri pespiltrat etmesine izin verir.
Yüksek değerli hedefler ve küresel erişim: Kritik altyapıya stratejik bir saldırı
Storm-2372’nin kampanyası, jeopolitik zeka, ekonomik veriler ve altyapı kontrol sistemlerine erişimi olan kuruluşlara öncelik vermiştir.
Ukrayna, Almanya ve ABD’deki devlet kurumları, savunma müteahhitleri ve telekomünikasyon firmaları, Orta Doğu’daki insani yardım ve enerji sektörlerinde yer alan STK’ların yanı sıra birincil hedefler olmuştur.
Grubun BT hizmetlerine ve yükseköğretim kurumlarına odaklanması, potansiyel olarak Rusya’nın teknolojik ve askeri hedeflerine yardımcı olan fikri mülkiyet ve araştırma verilerine ilgi göstermektedir.
Microsoft’un analizi, saldırganların genellikle yüksek rütbeli yetkilileri veya BT yöneticilerini kimlik avı yükleri teslim etmeden önce hedeflerle ilişki kurmaları için taklit ettiğini ortaya koyuyor.
Örneğin, bir fabrikasyon ekipler toplantısı davetiyesi, kurbanın Microsoft’un meşru portalı aracılığıyla kimlik doğrulamasını isteyen “Toplantı Kimliği” olarak etiketlenmiş bir cihaz kodu içerebilir.
İçeri girdikten sonra, Storm-2372, hassas e-postaları tanımlamak ve bunları yaymak için, Microsoft Graph gibi yaptırımlı API’lardan yararlanarak geleneksel e-posta güvenlik araçlarını atlayarak anahtar kelime aramaları (örneğin, “kimlik bilgileri”, “bakanlık”, “yönetici”) kullanır.
Tehdidi azaltmak: gelişen bir manzara için uyarlanabilir savunmalar
Aygıt kodu kimlik avına karşı koymak için uzmanlar, statik güvenlik politikalarından uyarlanabilir, bağlama duyarlı savunmalara geçiş vurgulamaktadır.
Microsoft, cihaz uyumluluğuna, coğrafi konuma ve kullanıcı riski profillerine göre oturum açmalarını kısıtlayan koşullu erişim politikalarının uygulanmasını önerir.
Kuruluşlar ayrıca üçüncü taraf OAuth uygulamalarını denetlemeye ve gereksiz izinleri iptal etmeye çağırılır, çünkü saldırganlar genellikle kalıcılığı korumak için kötü yapılandırılmış uygulama kayıtlarından yararlanır.
SMS tabanlı MFA’yı FIDO2 güvenlik tuşları gibi kimlik avlamaya dayanıklı yöntemlerle değiştirmek, belirteç hırsızlığı risklerini ortadan kaldırabilir.
Eşzamanlı olarak, çalışan eğitim programları, cihaz kodu kimlik avına özgü sosyal mühendislik taktiklerini ele almak için gelişmelidir.
Örneğin, kullanıcılar güvenilir platformlardan kaynaklanıyor gibi görünse bile beklenmedik kimlik doğrulama isteklerinin meşruiyetini doğrulamak için eğitilmelidir.
Tarayıcı izolasyonu ve gerçek zamanlı oturum izleme gibi teknolojik çözümler anormal belirteç kullanımını tespit edebilir.
Örneğin Menlo Security’nin Heatcheck çerçevesi, tarayıcı oturumlarındaki kaçamak davranışları tanımlar, jeton dışarı çıkmadan önce kötü niyetli etkinlikleri engeller.
Ayrıca, tanınmayan cihaz kodları veya anormal jeton ömrüleri için Azure reklam oturum açma girişimlerinin kaydedilmesi ve analiz edilmesi erken uzlaşma uyarıları sağlayabilir.
Storm-2372’nin kampanyası, meşru kimlik doğrulama iş akışları ve silahlı saldırı vektörleri arasındaki bulanık çizgiyi örneklendiriyor.
Ulus-devlet aktörleri Microsoft 365 gibi her yerde bulunan platformlara olan güvenden giderek daha fazla yararlanırken, kuruluşlar teknik kontrolleri, sürekli izleme ve kullanıcı eğitimini harmanlayan katmanlı savunmaları benimsemelidir.
Cihaz kodu kimlik avının yükselişi daha geniş bir eğilimin altını çiziyor: kimliğin yeni çevre olduğu bir dönemde, esneklik olumsuz inovasyonu öngörmeye ve eski güvenlik paradigmalarını yeniden düşünmeye dayanıyor.
Tehdit istihbaratını uyarlanabilir politikalarla entegre ederek, işletmeler fırtına-2372 ve benzeri APT’lerin ortaya koyduğu riskleri azaltabilir ve kritik varlıkları giderek daha değişken bir siber manzarada koruyabilir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!