Birden fazla şüpheli Rusya bağlantılı tehdit aktörleri, Mart 2025’in başından beri Microsoft 365 hesaplarına yetkisiz erişim elde etmek amacıyla Ukrayna ve insan hakları ile bağları olan bireyleri ve kuruluşları “agresif bir şekilde” hedefliyor.
Voleksite başına yüksek hedefli sosyal mühendislik operasyonları, aynı hedeflere ulaşmak için cihaz kodu kimlik avı olarak bilinen bir teknikten yararlanan daha önce belgelenmiş saldırılardan bir değişimdir, bu da Rus rakiplerinin aktif olarak aktif olarak rafine ettiğini gösterir.
Josh Duke, Matthew Meltzer, Sean Koessel, Steven Adair ve Tom Lancaster’ın aşırı analizde yaptığı açıklamada, “Son zamanlarda gözlemlenen bu saldırılar bir hedefle bire bir etkileşime dayanıyor, çünkü tehdit oyuncusu bir bağlantıyı tıklamaya ve Microsoft tarafından oluşturulan bir kod göndermeye ikna etmelidir.” Dedi.
En az iki farklı tehdit kümesi UTA0352 Ve UTA0355 APT29, UTA0304 ve UTA0307 ile de ilişkili olma olasılığı göz ardı edilmemelerine rağmen, saldırıların arkasında olduğu değerlendirilmiştir.
En son saldırı seti, meşru Microsoft OAuth 2.0 kimlik doğrulama iş akışlarını kötüye kullanmayı amaçlayan yeni bir tekniğin kullanımı ile karakterize edilir. Tehdit aktörleri, çeşitli Avrupa ülkelerinden yetkilileri taklit ediyor ve en az bir durumda, mağdurları hesaplarının kontrolünü ele geçirmek için Microsoft tarafından üretilen bir OAuth kodu sağlamak için kandırmak için en az bir durumda uzlaşmış bir Ukrayna hükümet hesabından yararlandığı tespit edildi.
Signal ve WhatsApp gibi mesajlaşma uygulamaları, hedeflerle iletişim kurmak için kullanılır, onları bir görüntülü görüşmeye katılmaya davet eder veya çeşitli ulusal Avrupa siyasi yetkilileriyle özel toplantılara veya Ukrayna’da bulunan yaklaşan etkinlikler için kaydolur. Bu çabalar, kurbanları Microsoft 365 altyapısında barındırılan bağlantıları tıklamaya çalışıyor.
Volexity, “Hedef mesajlara cevap verdiyse, konuşma, toplantı için kararlaştırılan bir zaman planlamaya yönelik hızla ilerleyecekti.” Dedi. Diyerek şöyle devam etti: “Kabul edilen toplantı süresi yaklaştıkça, iddia edilen Avrupa siyasi yetkilisi tekrar iletişim kuracak ve toplantıya nasıl katılacağına dair talimatları paylaşacaktı.”
Talimatlar bir belge biçimini alır, bundan sonra sözde yetkili toplantıya katılmak için hedefe bir bağlantı gönderir. Bu URL’lerin tümü Microsoft 365 için resmi oturum açma portalına yönlendirilir.
Özellikle, verilen bağlantılar resmi Microsoft URL’lerine yönlendirmek ve işlemde bir Microsoft yetkilendirme jetonu oluşturmak için tasarlanmıştır, bu da daha sonra URI’nin bir parçası olarak veya yönlendirme sayfasının gövdesinde görünecektir. Saldırı daha sonra kurbanı kodu tehdit aktörleriyle paylaşmaya kandırmaya çalışıyor.
Bu, kimlik doğrulamalı kullanıcıyı Insiders.vscode adresindeki Visual Studio Kodunun tarayıcısı sürümüne yönlendirerek elde edilir.[.]jetonun kullanıcıya görüntülendiği dev. Mağdur OAuth kodunu paylaşırsa, UTA0352, nihayetinde kurbanın M365 hesabına erişime izin veren bir erişim belirteci oluşturmaya devam eder.
Volexity, kullanıcıları “vscode-regirect.azurewebsites web sitesine yönlendiren kampanyanın daha önceki bir yinelemesini gözlemlediğini söyledi.[.]Net, “bu da Localhost IP adresine (127.0.0.1) yönlendirir.
Araştırmacılar, “Bu olduğunda, yetkilendirme kodu ile bir kullanıcı arayüzü vermek yerine, kod yalnızca URL’de mevcuttur.” “Bu, kullanıcının tarayıcısında oluşturulduğunda boş bir sayfa verir. Saldırgan, saldırganın kodu alabilmesi için kullanıcının URL’yi tarayıcısından paylaşmasını istemelidir.”
Nisan 2025’in başlarında tanımlanan bir başka sosyal mühendislik saldırısının, hedeflere mızrak aktı e-postaları göndermek için zaten tehlikeye atılmış bir Ukrayna hükümet e-posta hesabı kullanmayı ve ardından sinyal ve whatsApp’a mesaj gönderdiği söyleniyor.
Bu mesajlar, hedefleri Ukrayna’nın “vahşet suçları” yatırım ve kovuşturma ve ülkenin uluslararası ortaklarla işbirliği ile ilgili çabalarıyla ilgili bir video konferansına katılmaya davet etti. Etkinliğin nihai niyeti UTA0352 ile aynı olsa da, çok önemli bir fark vardır.
Tehdit aktörleri, diğer durumda olduğu gibi, mağdurun e -posta verilerine erişmek için meşru Microsoft 365 Kimlik Doğrulama API’sını kötüye kullanır. Ancak çalınan OAuth Yetkilendirme Kodu, kurbanın Microsoft Entra Kimliğine (eski adıyla Azure Active Directory) yeni bir cihaz kaydetmek için kullanılır.
Bir sonraki aşamada, saldırgan hedefleri iki faktörlü bir kimlik doğrulama talebini onaylamaya ve hesabı kaçırmaya ikna etmek için ikinci bir sosyal mühendislik turu düzenler.
Volexity, “Bu etkileşimde UTA0355, kurbanın iki faktörlü kimlik doğrulama (2FA) isteğini ‘konferansla ilişkili bir SharePoint örneğine erişim elde etme’ isteğini onaylamasını istedi.” Dedi. Diyerek şöyle devam etti: “Bu, e -postalarına erişmek için kurbanın kuruluşu tarafından uygulanan ek güvenlik gereksinimlerini atlamak gerekiyordu.”
Bu saldırıları tespit etmek ve hafifletmek için kuruluşlara yeni kayıtlı cihazları denetlemeleri, kullanıcıları mesajlaşma platformlarında istenmeyen kişilerle ilişkili riskleri eğitmeleri ve organizasyon kaynaklarına erişimi yalnızca onaylanmış veya yönetilen cihazlarla sınırlayan koşullu erişim politikalarını uygulamaları önerilir.
Şirket, “Bu son kampanyalar, Microsoft’un resmi altyapısında meydana gelen tüm kullanıcı etkileşimlerinden yararlanıyor; bu saldırılarda kullanılan saldırgan tarafından barındırılan bir altyapı yok.”
“Benzer şekilde, bu saldırılar, kullanıcının açıkça erişim sağlaması (ve bu nedenle kuruluşlar tarafından kolayca engellenebileceği) kötü amaçlı veya saldırgan kontrollü OAuth uygulamalarını içermez. Bu tekniğin önlenmesini ve tespitinin oldukça zor olmasını sağladığı kanıtlanmıştır.”