Şüpheli Rus tehdit aktörleri, Microsoft 365 (M365) hesaplarına erişim sağlamak için hedef almak için OAuth tabanlı kimlik avı saldırıları kullanıyor.
Volexity araştırmacılarına göre, “Gözlemlenen birincil taktikler, mağdurun Saldırgana Hesap Erişimi sağlayan Microsoft Yetkilendirme Kodlarını talep eden saldırganı içeriyor.
Saldırı nasıl ortaya çıkıyor
Son zamanlarda gözlemlenen bu saldırılar, tehdit oyuncusu hem bir bağlantıyı tıklamaya ve Microsoft tarafından oluşturulan bir kodu geri göndermeye ikna etmelidir, çünkü bir hedefle bire bir etkileşime dayanmaktadır.
Benekli kampanyalarda, saldırganlar çeşitli Avrupa ülkeleri ve Ukrayna’dan yetkilileri taklit ettiler ve Signal veya Whatsapp gibi bir mesajlaşma uygulaması kullanarak kurbanlara ulaştı ve onları Ukrayna’daki savaş hakkında bir video görüşmesine katılmaya davet etti.
Signal ve WhatsApp aracılığıyla kimlik avı mesajları (Kaynak: Volexity)
Kurban cevap verdikten sonra, saldırgan görünüşte aramaya katılmalarına izin verecek bir bağlantı gönderir. Bu bağlantı, gerçek bir Microsoft giriş sayfasına yol açar ve mağdur (M365 hesap kimlik bilgileriyle) oturum açtığında, Microsoft onlara bir OAuth kodu veya belirli bir URL sağlar.
Saldırgan daha sonra kurbandan onlara bu kodu veya URL’yi göndermesini ister. Kurban paylaşırsa, saldırgan kurbanın Microsoft 365 hesabına giriş yapmak ve e -postalarına ve dosyalarına erişmek için kullanabilir.
Araştırmacılar saldırının çeşitli varyasyonlarını gözlemlediler.
Visual Studio Kodu aracılığıyla kimlik avı (Kaynak: Volexity)
Ancak tüm kampanyalarda, sosyal mühendislik büyük bir rol oynadı: Hedefler, saldırganlara, saldırganlara geri dönme, kodlar geri göndermek ve bir kampanyada, saldırgan cihazlarını kurbanın Microsoft Entra Kimlik Kiracısına kaydettirdikten sonra iki faktörlü bir kimlik doğrulama talebini onaylamak zorunda kaldı.
Önleme ve tespit
Kampanyalar Mart 2025’te tespit edildi ve İnsan Hakları Hükümet dışı örgütlere ve insani yardım sağlayan kuruluşlara yönelikti.
Volexity, bu kampanyaları devlet destekli belirli hack gruplarına bağlayamadı, ancak bu tehdit aktörleri ile bu yılın başlarında cihaz kodu kimlik doğrulama kimlik avı kampanyaları yürütenler arasında örtüşmeler olduğunu düşünüyor.
Hem kullanılan hem de kullanılan benzer taktiklerdeki hedefler Rus tehdit aktörlerine işaret ediyor gibi görünüyor.
“Cihaz kodu kimlik doğrulama kimlik avı kampanyalarına benzer şekilde…, bu son kampanyalar Microsoft’un resmi altyapısında meydana gelen tüm kullanıcı etkileşimlerinden yararlanır; bu saldırılarda kullanılan saldırgan tarafından barındırılan bir altyapı yoktur” dedi.
“Benzer şekilde, bu saldırılar, kullanıcının açıkça erişim sağlaması (ve böylece kuruluşlar tarafından kolayca engellenebileceği) kötü amaçlı veya saldırgan kontrollü OAuth uygulamalarını içermez. Bu tekniğin önlenmesini ve tespitini oldukça zorlaştırdığı kanıtlanmıştır.”
Volexity, bu saldırıları önlemek ve tespit etmek için yararlı tavsiyeler sağlamıştır, ancak personel ve nakit sıkıntısı çeken kuruluşlar bunları uygulamakta zorlanabilir.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!