Microsoft Defender araştırmacıları, SharePoint dosya paylaşımının kötüye kullanılması yoluyla enerji sektörü kuruluşlarını hedef alan karmaşık bir ortadaki rakip (AiTM) kimlik avı kampanyasını açığa çıkardı.
Çok aşamalı saldırı, birden fazla kullanıcı hesabını tehlikeye attı ve çeşitli kuruluşlarda yaygın iş e-postası ihlali (BEC) operasyonlarına dönüştü.
Güvenilir Satıcı Aracılığıyla İlk Uzlaşma
Saldırı, güvenliği ihlal edilmiş güvenilir bir satıcının e-posta adresinden gönderilen kimlik avı e-postalarıyla başladı. Tehdit aktörleri, şüpheleri ortadan kaldırmak için meşru belge paylaşım iş akışlarını taklit ederek kimlik doğrulama gerektiren SharePoint URL’lerinden yararlandı.
Saldırganlar, kurumsal ortamlarda her yerde bulunan ve sıklıkla geleneksel e-posta güvenlik filtrelerini atlayan Microsoft SharePoint ve OneDrive hizmetlerine duyulan yaygın güvenden yararlandı.
Kurbanlar, kötü amaçlı SharePoint bağlantılarına tıkladıktan ve sahte giriş sayfalarına kimlik bilgilerini girdikten sonra, saldırganlar kullanıcı oturumlarına erişim elde etti.
Tehdit aktörleri, gelen e-postaları silmek ve mesajları okundu olarak işaretlemek için hemen gelen kutusu kuralları oluşturdu; böylece ele geçirilen hesapları izlerken gizliliği korudular. Bu taktik, kurbanların şüpheli etkinlikleri keşfetmesini veya güvenlik uyarıları almasını engelledi.
İlk uzlaşmanın ardından saldırganlar, kurban kuruluşun içindeki ve dışındaki kişilere 600 e-postayı aşan büyük bir kimlik avı kampanyası başlattı.
Kampanya, ele geçirilen gelen kutularındaki son e-posta dizilerinden belirlenen alıcıları hedefleyerek saldırı yüzeyini önemli ölçüde genişletti.
Saldırganlar, kurbanların posta kutularını aktif olarak izliyor, teslim edilmeyen ve ofis dışında olan bildirimleri tespit edilmekten kaçınmak için siliyor.
Alıcılar şüpheli e-postaları sorguladığında, tehdit aktörleri, konuşma dizilerini silmeden önce sahte bir şekilde meşruiyeti doğrulamak için ele geçirilen hesaplardan yanıt verdi.
Bu teknikler, mağdurların devam eden operasyonlardan habersiz kalmasını sağlarken kalıcılığın korunmasına da yardımcı oldu.
Microsoft Defender Uzmanları, giriş IP’si ve oturum açma modellerine göre güvenliği ihlal edilmiş ek kullanıcılar tespit ederek, kampanyanın enerji sektöründeki birden fazla kuruluştaki geniş erişimini ortaya çıkardı.
Microsoft, AiTM saldırılarının giderilmesi için parola sıfırlamanın tek başına yeterli olmadığını vurguluyor. Kuruluşların etkin oturum çerezlerini iptal etmesi, saldırgan tarafından oluşturulan gelen kutusu kurallarını kaldırması ve tehdit aktörleri tarafından değiştirilen tüm MFA ayarlarını sıfırlaması gerekir.
Saldırganlar, saldırganın kontrolündeki telefon numaralarını kullanarak alternatif MFA yöntemlerini kaydedebilecekleri için, şifre değişiklikleri sonrasında bile çalınan oturum çerezleri aracılığıyla erişimi sürdürebilirler.
Microsoft, IP konumu, cihaz durumu ve kullanıcı grubu üyeliği gibi kimlik sinyallerini kullanarak oturum açma isteklerini değerlendiren koşullu erişim ilkelerinin uygulanmasını önerir.
Sürekli erişim değerlendirmesi, Azure Active Directory’deki güvenlik varsayılanları ve gelişmiş kimlik avı koruması çözümleri ek savunma katmanları sağlar.
Kuruluşlar, birden fazla hesapta oturum açma girişimi ve kötü amaçlı gelen kutusu kuralı oluşturma dahil şüpheli etkinlikleri algılayan Microsoft Defender XDR’yi dağıtmalıdır.
Uzlaşma Göstergeleri:
- 178.130.46.8 (Saldırgan altyapısı)
- 193.36.221.10 (Saldırgan altyapısı)
Enerji sektörü kuruluşları, kimlik doğrulama günlüklerinde bu IP adreslerini derhal aramalı ve ilgili oturum açma etkinliklerini araştırmalıdır.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
