Siber güvenlik araştırmacıları, tehdit aktörlerinin, hesap devralma saldırılarının bir parçası olarak kimlik bilgisi hasatını kolaylaştırmak için sahte Microsoft OAuth uygulamalarıyla işletmeleri taklit ettikleri yeni bir faaliyet kümesini detaylandırdılar.
Perşembe günü yaptığı açıklamada, “Sahte Microsoft 365 uygulamaları, RingCentral, SharePoint, Adobe ve Docusign dahil olmak üzere çeşitli şirketleri taklit ediyor.” Dedi.
İlk olarak 2025’in başlarında tespit edilen devam eden kampanya, OAuth uygulamalarını, Tycoon ve ODX gibi çok faktörlü kimlik doğrulama (MFA) gerçekleştirebilen kimlik avı kitleri aracılığıyla kullanıcıların Microsoft 365 hesaplarına yetkisiz erişim elde etmek için bir geçit olarak kullanmak üzere tasarlanmıştır.
Kurumsal Güvenlik Şirketi, yaklaşımın 50’den fazla takviyeli başvuruya sahip e -posta kampanyalarında kullanıldığını gözlemlediğini söyledi.
Saldırılar, tehlikeye atılan hesaplardan gönderilen kimlik avı e -postaları ile başlar ve alıcıları teklif (RFQ) veya iş sözleşmesi sözleşmeleri paylaşma bahanesi altında URL’lere tıklamayı kandırmayı amaçlamaktadır.
Bu bağlantıları tıklamak, kurbanı, temel profillerini görüntülemeleri ve erişim verildikleri verilere sürekli erişimi sürdürmeleri için izin vermelerini isteyen “Ilsmart” adlı bir uygulama için bir Microsoft OAuth sayfasına yönlendirir.
Bu saldırıyı dikkate değer kılan şey, havacılık, deniz ve savunma endüstrilerinin parça ve onarım hizmetleri alıp satmak için meşru bir çevrimiçi pazar olan Ilsmart’ın taklit edilmesidir.
“Uygulamaların izinleri bir saldırgana sınırlı kullanım sağlayacaktır, ancak saldırının bir sonraki aşamasını kurmak için kullanılır.” Dedi.
Hedefin istenen izinleri kabul edip etmediğine bakılmaksızın, ilk olarak bir Captcha sayfasına ve daha sonra doğrulama tamamlandıktan sonra sahte bir Microsoft hesap kimlik doğrulama sayfasına yönlendirilir.
Bu sahte Microsoft sayfası, kurbanın kimlik bilgilerini ve MFA kodlarını hasat etmek için Tycoon Hizmet Olarak Kimlik Yardımı (PHAAS) platformu tarafından desteklenen ortada düşman (AITM) kimlik avı tekniklerini kullanıyor.
Geçen ay olduğu gibi, Proofpoint, e -postaların bir e -posta pazarlama platformu olan Twilio Sendgrid aracılığıyla gönderildiği ve aynı hedefle tasarlandığı Adobe’yi taklit eden başka bir kampanya tespit ettiğini söyledi: Kullanıcı yetkisi kazanmak veya kurbanı kimlik avı sayfasına yönlendiren bir iptal akışını tetiklemek.
Kampanya, genel kralı ile ilgili aktiviteye kıyasla kovada sadece bir düşüşü temsil ediyor ve çoklu kümeler hesap devralma saldırıları yapmak için araç setinden yararlanıyor. Yalnızca 2025’te 900’den fazla Microsoft 365 ortamını kapsayan yaklaşık 3.000 kullanıcı hesabını etkileyen hesap uzlaşmaları denenmiştir.
“Tehdit aktörleri, tespitleri atlamak ve küresel olarak kuruluşlara erişim elde etmek için giderek daha yenilikçi saldırı zincirleri yaratıyorlar,” dedi şirket, “tehdit aktörlerinin kullanıcıların kimliğini giderek daha fazla hedefleyeceğini ve AITM kimlik avı PHISHING’in suç endüstrisi standardı haline geleceğini öngörüyor.”
Geçen ay itibariyle Microsoft, eski kimlik doğrulama protokollerini engelleyerek ve üçüncü taraf uygulamaya erişim için yönetici rızası gerektirerek güvenliği artırmak için varsayılan ayarları güncelleme planlarını açıkladı. Güncellemelerin Ağustos 2025’e kadar tamamlanması bekleniyor.
“Bu güncellemenin genel olarak manzara üzerinde olumlu bir etkisi olacak ve bu tekniği kullanan tehdit aktörlerini hamstring olacak.”
Açıklama, Microsoft’un çalışma kitabı güvenliğini artırmak amacıyla Ekim 2025 ve Temmuz 2026 arasında varsayılan olarak engellenen dosya türlerine harici çalışma kitabı bağlantılarını devre dışı bırakma kararını izlemektedir.
Seqrite, bulgular ayrıca, otoit tabanlı bir enjektör ile konuşlandırmak için kullanıldığı için bulgular ayrıca, otoit tabanlı bir enjektör ile dağıtmak için kullanıldığından, ödün verilen ana bilgisayarlardan hassas veri çalabilen bir parça kötü amaçlı yazılım kullandığından da geliyor.
Birkaç ay boyunca, spam kampanyaları, e -posta ve kötü amaçlı yazılım savunmalarını atlamak için PDF dosyaları içindeki uzak masaüstü yazılımlarına yükleme bağlantılarını gizleyen tespit edildi. Kampanyanın Kasım 2024’ten bu yana, öncelikle Fransa, Lüksemburg, Belçika ve Almanya’daki varlıkları hedefleyen sürdüğüne inanılıyor.
Secure, “Bu PDF’ler genellikle güvenilirliği artırmak ve kurbanları gömülü bağlantıyı tıklamaya teşvik etmek için faturalar, sözleşmeler veya mülk listeleri gibi görünecek şekilde gizleniyor.” Dedi. Diyerek şöyle devam etti: “Bu tasarım, kurbandan bir program kurmasını isteyen, gizlenmiş meşru içerik yanılsaması yaratmayı amaçladı. Bu durumda program Fleetdeck RMM idi.”
Etkinlik kümesinin bir parçası olarak dağıtılan diğer uzaktan izleme ve yönetim (RMM) araçları arasında Action1, Optitune, Bluetrait, Syncro, Superops, Atera ve Screenconnect bulunur.
Finlandiya şirketi, “Enfeksiyon sonrası yükler gözlenmemiş olsa da, RMM araçlarının kullanımı, ilk erişim vektörü olarak rollerini güçlü bir şekilde önererek potansiyel olarak daha fazla kötü niyetli aktivite sağlıyor.” “Özellikle fidye yazılımı operatörleri bu yaklaşımı desteklediler.”