Dolandırıcılık Yönetimi ve Siber Suçlar , Sosyal Mühendislik
Öncelikle Fortune 500 Şirketlerinin Çalışanlarına Yönelik Saldırılarda Kullanılan Kimlik Avı Kiti
Prajeet Nair (@prajeetspeaks) •
10 Ağustos 2023
Tehdit aktörleri, çok faktörlü bir kimlik avı aracı kullanarak C-suite yöneticilerinin bulut tabanlı Microsoft 365 hesaplarının denetimini ele geçiriyor.
Ayrıca bakınız: İsteğe Bağlı Web Semineri | Üçüncü Taraf Riski, ChatGPT ve Deepfakes: Bugünün Tehditlerine Karşı Savunma
Ortadaki düşman kiti EvilProxy’nin kullanıldığı bir kampanya, Mart ve Haziran ayları arasında toplu olarak 1,5 milyon çalışanı temsil eden yüzlerce şirkete 120.000 sahte e-posta gönderdi.
Proofpoint araştırmacıları, kimlik avı e-postalarının DocuSign ve Adobe gibi iyi bilinen ve güvenilir hizmetleri taklit ettiğini söylüyor.
EvilProxy, kullanıcıları kurban ile meşru bir oturum açma sayfası arasında aracı görevi gören, saldırgan tarafından kontrol edilen web sitelerine göndererek MFA korumalı kimlik bilgilerinin çalınmasını kolaylaştırır. Bilgisayar korsanları, tespit edilmekten kaçmak için trafiği proxy sitesine ulaşmadan önce birden fazla site üzerinden yönlendirir. Trafiği yönlendirmek için kullandığı alanlar arasında bs.serving-sys.com, “kullanıcıları bir dizi istenmeyen web sayfasına yönlendirmesiyle bilinen bir alan.” Bilgisayar korsanları YouTube alanını da kullanır.
Araştırmacılar, saldırganların, kimlik avı yapılan bir kullanıcının üst düzey bir profil, muhtemelen C düzeyinde bir yönetici veya bir başkan yardımcısı olup olmadığını gerçek zamanlı olarak belirlemek ve hesaba erişim elde etmek için otomasyon kullandığını gözlemledi. Proofpoint, yetkisiz kişilerin yöneticilerin bulut tabanlı hesaplarının kontrolünü ele geçirerek potansiyel olarak yetkisiz erişime, veri ihlallerine ve diğer güvenlik ihlallerine yol açtığı vaka sayısında iki katına çıktığını bildirdi.
Araştırmacılar, “İçeri girdikten sonra, kötü niyetli aktörler bir kuruluşun ortamında fark edilmeden saklanabilir ve istedikleri zaman karmaşık saldırılar düzenleyebilirler” dedi. Bilgisayar korsanları, kalıcılık sağlamak için güvenliği ihlal edilmiş bir Microsoft 365 hesabına birçok kez kendi MFA yöntemlerini ekledi.
Los Angeles merkezli bir güvenlik danışmanlığı şirketi olan Resecurity’in CEO’su Gene Yoo, 2022’de ISMG’ye verdiği demeçte, EvilProxy’nin Mayıs ayı başlarında ortaya çıktığını ve “Fortune 500 şirketlerinden birden fazla çalışana karşı” saldırılarda kullanıldığını söyledi.
“Güvenliği ihlal edilmiş yüzlerce kullanıcının yaklaşık %39’u, %17’si mali işler müdürü ve %9’u başkan ve CEO olmak üzere C düzeyindeki yöneticilerdi. finansal varlıklara veya hassas bilgilere erişim,” dedi Proofpoint araştırmacıları.