Siber güvenlik firması Volexity, UTA0352 ve UTA0355 olarak tanımlanan şüpheli Rus tehdit aktörleri tarafından bir dizi hedefli saldırıyı izledi.
Microsoft 365 (M365) OAuth 2.0 kimlik doğrulama iş akışlarından yararlanmak, sivil toplum kuruluşlarındaki (STK’lar) bireylerin hesaplarını, özellikle Ukrayna’ya odaklanan insan hakları gruplarını tehlikeye atmak için kullanır.
Sofistike Sosyal Mühendislik Taktikleri Açıklandı
Bu kampanyalar, Şubat 2025’te bildirilen önceki Cihaz Kodu Kimlik Doğrulama Kimlik avı saldırılarını takiben, daha karmaşık sosyal mühendislik yöntemlerine geçiş sergiliyor.
.png
)
Saldırganlar kurbanları Signal ve Whatsapp gibi mesajlaşma platformlarında bire bir etkileşimlerle, Avrupa siyasi yetkililerini taklit ederek veya güven oluşturmak için tehlikeye atılmış Ukrayna hükümet hesaplarını kullanarak meşgul ediyorlar.
Amaçları hedefleri kötü amaçlı OAuth URL’lerini tıklamaya ve Microsoft tarafından oluşturulan yetkilendirme kodlarını paylaşmak ve saldırganlara Microsoft Graph API üzerinden e-posta verileri gibi hassas M365 kaynaklarına erişim sağlamaktır.
Meşru Microsoft iş akışlarını kötüye kullanma
Bu saldırıların teknik karmaşıklığı, meşru Microsoft OAuth 2.0 iş akışlarını kötüye kullanmalarında yatmakta ve saldırgan barındıran altyapı tamamen önlemektedir.
UTA0352, Visual Studio Kodu gibi birinci taraf Microsoft uygulamalarına işaret eden URL’lerden yararlanır, aebc6443-996d-45c2-90f0-388ff96faa56 Varsayılan erişim hakları istemek ve kullanıcıları gibi alan adlarına yönlendirmek için insiders.vscode.dev veya vscode-redirect.azurewebsites.net.
Kimlik doğrulandıktan sonra, mağdurlardan, 60 güne kadar geçerli erişim belirteçleri için değiştirilebilen tarayıcı URL’lerinde veya iletişim kutularında görünen OAuth yetkilendirme kodlarını paylaşmaları istenir.
Bu arada, UTA0355, kurbanların Microsoft Entra Kimliğine yeni cihazları kaydetmek için çalıntı kodları kullanarak daha sinsi bir yaklaşım benimser, daha sonra iki faktörlü kimlik doğrulama (2FA) tam e-posta erişim taleplerini onaylamak için sosyal olarak mühendislik hedefleri.
Genellikle uzlaşmış hesaplardan ve ardından gerçek zamanlı mesajlaşmanın e-postalarıyla başlatılan bu çok aşamalı taktik, Microsoft’un resmi giriş portallarına olan güvenden yararlanır. login.microsoftonline.comalgılamayı zorlaştırır.
Volexity, e-posta indirmeleri gibi eşlik sonrası etkinliklerin günlüklerdeki Microsoft IP adresleri tarafından maskelendiğini ve geleneksel güvenlik analizini karmaşıklaştırdığını not ediyor. ClientIPAddress tarlalar.
Bu saldırılar, Rus aktörler sürekli olarak güvenlik kontrollerini atlamaya adapte olduğu için kuruluşlar için, özellikle Ukrayna’ya bağlı olanlar için kalıcı bir tehdidi vurgulamaktadır.
Volexity, Microsoft Graph Access ile eşleştirilmiş Visual Studio Kodu İstemci Kimlikleri ve Düşük RotaTasyon IP’lerine bağlı yeni kayıtlı cihazların izlenmesi gibi belirli OAuth giriş modellerinin uyarılmasını önerir.
Kullanıcıları güvenli mesajlaşma uygulamalarında istenmeyen kişiler hakkında eğitmek ve tarayıcı adres çubuklarından kod veya URL’lerin paylaşılması riskleri kritiktir.
Bu kampanyalar yalnızca Microsoft’un altyapısına ve önceden düzenlenmiş birinci taraf uygulamalarına dayandığı için, koşullu erişim politikaları gibi geleneksel engelleme yöntemleri, bu tür gelişen tehditlere karşı koymak için artan uyanıklık ve özel güvenlik farkındalığı eğitimi ihtiyacının altını çiziyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!