Trend Micro’nun Yönetilen XDR ekibi yakın zamanda birden fazla iş ortağını hedefleyen gelişmiş bir iş e -posta uzlaşması (BEC) saldırısı araştırdı.
Birkaç gün içinde meydana gelen olay, karmaşık bir sahtekarlık planını düzenlemek için tehlikeye atılan bir e -posta sunucusunun kullanılmasını içeriyordu.
Karmaşık aldatma ağı
Saldırı, düzenli e -posta iletişimi yapan üç iş ortağı (Ortak A, Ortak B ve Ortak C) içeriyordu.
Tehdit oyuncusu, üçüncü taraf bir e-posta sunucusunun kontrolünü ele geçirdi ve bu da daha sonra hileli e-postalar göndermek için kullanıldı.
Bu uzlaştırılmış sunucu, saldırganın üç iş ortağı arasındaki tüm e -posta konuşmalarının tam görünürlüğünü korumasına izin verdi.
Olay iki aşamada ortaya çıktı. İlk aşamada, saldırgan kendilerini mevcut e -posta zincirlerine yerleştirdi ve şüphe uyandırmaktan kaçınmak için müdahalelerini dikkatlice zamanladı.
Meşru iletişim kalıplarını taklit ederek kendilerini konuşmaya konumlandırmadan yaklaşık 4,5 saat beklediler.
İkinci aşamada, tehdit oyuncusu konuşmanın tam kontrolünü ele geçirdi ve alıcıları kontrolleri altındaki e -posta hesaplarıyla yavaş yavaş değiştirdi.
Meşruiyet yanılsamasını korumak için, “from” alanı amaçlanan alıcının adresini içeriyordu, “Yanıtlama” alanı saldırganın e-posta adresine ayarlandı.
Tahmin edilen üçüncü taraf e-posta sunucusunun, hileli e-postaların Gönderen İlkesi Çerçevesi (SPF) kimlik doğrulamasını geçmesine izin veren güvensiz bir yapılandırmaya sahip olduğu görülüyordu.
Trend Micro raporuna göre, saldırgan tarafından önceden var olan veya kasten değiştirilmiş olsun, bu yanlış yapılandırma, planın başarısında önemli bir rol oynadı.
Sofistike taktikler ve teknikler
Saldırganlar aşağıdakileri içeren çeşitli gelişmiş teknikler kullandılar:
- Devam eden ticari işlemlerde istihbarat toplamak için e -posta koleksiyonu (MITER ATT & CK T1114).
- Erişim ve İletişimi Monitör için Hesap Devralma (T1078) ve E -posta Yönlendirme Kuralları (T1114.003).
- Minimum giden kısıtlamalarla tehlikeye atılmış bir üçüncü taraf e-posta sunucusunun (T1584.004) kullanılması.
- Meşru kullanıcıları taklit etmek için benzeyen e -posta hesaplarının (T1585.002) oluşturulması.
- Sahtekarlığı yürütmek için partiler (T1199) arasındaki güvenilir ilişkilerden yararlanmak.
Saldırının nihai hedefi, tehlikeye atılan e -posta sunucusunun sahibi için kaynak kaçırma (T1496) ek sonucu ile finansal hırsızlık (T1657) idi.
Bu olay, BEC saldırılarının gelişen sofistike olmasını vurgular ve DMARC, DKIM ve SPF dahil olmak üzere sağlam e -posta güvenlik önlemlerinin uygulanmasının öneminin altını çizer.
Kuruluşların finansal işlemler için dijital imzaları dikkate almaları, yüksek profilli bireyler için genişletilmiş denetim uygulamaları ve bu tür gelişmiş sahtekarlık planlarının risklerini azaltmak için iş ortaklarıyla bant dışı doğrulama protokolleri oluşturmaları tavsiye edilir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free