Şüpheli Rus tehdit aktörleri, Microsoft 365 (M365) hesaplarına erişim sağlamak için hedefleri kandırmak için Microsoft Cihaz Kodu kimlik doğrulamasından yararlanmaktadır.
“Cihaz kodu kimlik doğrulama saldırıları yeni olmasa da, ulus-devlet tehdit aktörleri tarafından nadiren kullanılmış gibi görünüyorlar. Volexity’nin hedeflenen saldırılara görünürlüğü, bu özel yöntemin, aynı (veya benzer) tehdit aktörleri tarafından yürütülen diğer sosyal mühendislik ve mızrak aktı saldırılarının yıllarca birleşik çabalarından çok daha etkili olduğunu göstermektedir ”dedi.
“Görünüşe göre bu Rus tehdit aktörleri, hedefler yakalamadan ve karşı önlemleri uygulamadan önce bu yöntemi aynı anda kötüye kullanmak amacıyla kuruluşlara karşı birkaç kampanya başlatmak için ortak bir çaba sarf ediyorlar.”
Saldırılar, kurbanın bakış açısından
Saldırılar hem Volexity hem de Microsoft tehdit analistleri tarafından tespit edildi. Volexity, Ocak 2025’te çeşitli sosyal mühendislik ve mızrak aktı kampanyalarını belirlerken, Microsoft saldırıların Ağustos 2024’ten beri devam ettiğini söylüyor.
Kampanyalar, hükümet kuruluşlarındaki belirli hedefler, sivil toplum kuruluşları ve birden fazla bölgedeki çeşitli endüstrilerle sınırlıdır.
Saldırganlar genellikle ABD, Ukraynalı ve AB hükümet yetkilileri veya önde gelen kurumlardaki araştırmacıları taklit eder ve sosyal medya veya sinyal gibi mesajlaşma uygulamaları aracılığıyla hedeflere ulaşırlar.
Tehdit oyuncusu saldırıya zemin hazırlamak için sinyal yoluyla ulaşır (Kaynak: Microsoft)
“İletişim çeşitli farklı temalar ve mesajlar taşıdı, ancak hepsi sonuçta saldırganın hedeflenen kullanıcıyı aşağıdakilerden birine davet etmesine neden oldu: Microsoft Teams toplantısı / video konferansı, harici bir M365 kullanıcısı olarak uygulamalara ve verilere erişim veya bir sohbet odası Güvenli bir sohbet uygulamasında [Element]”Diye açıkladı Volexity araştırmacıları.
Saldırı e -posta yoluyla devam ediyor: Puanlara sahip sahte bir davet gönderildi https://microsoft.com/deviceloginhangi yönlendirir https://login.microsoftonline.com/common/oauth2/deviceauthMicrosoft Cihaz Kodu Kimlik Doğrulama İş Akışı için kullanılan sayfa:
Microsoft Cihaz Kodu Kimlik Doğrulama Sayfası (Kaynak: Volexity) tarafından gösterilen iletişim kutusu
Hedef sahte davetiyede sağlanan alfasayısal koda girerse, kullanıcı adları, şifre ve ikinci kimlik doğrulama faktörleri (gerektiğinde) ile birlikte, tehdit aktörü, hedefin başarılı kimlik doğrulamasından sonra üretilen erişim ve yenileme tokenlerini yakalar ve bunları kazanmak ve kazanmak için kullanabilir ve Hedefin M365 hesabına erişimi koruyun.
Saldırı Nasıl Çalışır (Kaynak: Volexity)
Birden çok tehdit aktörleri, belirli anahtar kelimeler (şifre, admin, anydesk, gizli, bakanlık vb.) Ve belgeleri ve ilgili bilgileri sunmak için e -postalar aracılığıyla aramaya erişimden yararlanmıştır. Microsoft ayrıca, oluşturulmuş hesaptan hedef kuruluştaki diğer kullanıcılara cihaz kodu kimlik doğrulaması için bağlantılar içeren ek kimlik avı mesajları gönderdiklerini fark etti.
Cihaz kodu kimlik doğrulama iş akışı nedir?
Microsoft tarafından açıklandığı gibi cihaz kodu kimlik doğrulama iş akışı “kullanıcıların akıllı TV, IoT cihazı veya yazıcı gibi giriş kısıtlı cihazlarda oturum açmasına izin verir. Bu akışı etkinleştirmek için cihaz, oturum açmak için başka bir cihazdaki bir tarayıcıdaki bir web sayfasını ziyaret eder. Kullanıcı oturum açtıktan sonra, cihaz gerektiği gibi erişim belirteçleri alabilir ve jetonları yenileyebilir. ”
Aslında, saldırganlar hedefi ilk olarak akıllı sosyal mühendislik ile hazırladıktan sonra, hedeflerin M365 hesaplarına erişmek için bu yararlı seçeneği kötüye kullanıyorlar.
Bu saldırıların yüksek başarı oranı çeşitli faktörlerden kaynaklanmaktadır:
- Kimlik avı e -postalarının kötü niyetli bağlantılar veya ekler içermediği için kötü niyetli olarak tanımlanması olası değildir.
- Kullanıcılar, meşru hizmetlerden yararlanan saldırıların daha az farkındadır
- Saldırganın kimlik doğrulaması yaptığı uygulama M365 günlüklerinde “meşru” olarak gösterileceğinden, hesap uzlaşmasının hızlı bir şekilde tespit edilmesi olası değildir.
Bu saldırı yolu yeni değildir, ancak nadiren kullanılmıştır, bu nedenle çoğu insan buna aşina değildir ve şüpheli olma olasılığı düşüktür.
Azaltma ve tespit tavsiyesi
Volexity, “Kuruluşların cihaz kodu kimlik doğrulamasını tamamen bozan koşullu bir erişim politikası oluşturmaları mümkündür” diyor.
Bu potansiyel saldırı vektörünü önlemenin en etkili yoludur, ancak bunu yapmak meşru amaçlar için cihaz kodu kimlik doğrulama özelliğine ihtiyaç duyan kuruluşlar için mümkün değildir.
Bu kuruluşlar Microsoft Entra Kimlik Oturum Açma Günlüklerini izlemeli ve cihaz kodu kimlik doğrulamalarıyla ilişkili belirli değerleri gösteren işaretleri analiz etmelidir: “AuthenticationProtocol”: “DeviceCode” Ve “OrijinalTransferMethod”: “DeviceCodeflow”.
“Belirli bir kuruluş için oturum açma günlüklerinde meydana gelen bu değerlerin sıklığı ve meşruiyeti, bu meşru bir Microsoft özelliği olduğu için değişebilir. Bir kuruluş bu iş akışlarının risklerini ve kullanımını değerlendirebilir ve bu bilgileri potansiyel olarak proaktif bir algılama mekanizması olarak kullanabilir ”diye ekledi şirket.
Bir kuruluş, kullanıcılar tarafından erişilen / e -posta yoluyla alınan URL’leri izlerse, aşağıdaki URL’lerin uygulanması, cihaz kodu kimlik doğrulamasını kullanarak kimlik avı saldırılarına işaret edebilir:
- https://login.microsoftonline.com/common/oauth2/deviceauth
- https://www.microsoft.com/devicelogin
- https://aka.ms/devicelogin
Microsoft, “Şüphelenmiş (…) aygıt kodu kimlik avı faaliyeti tanımlanırsa, kullanıcının yenileme jetonlarını revokesigninsesses’i arayarak iptal edin” diyor. Hesap şifresini değiştirmek, saldırganı uzlaşmış hesaptan çıkarmak için yeterli değildir: saldırgan hem erişim belirteci hem de yenileme jetonunu elde eder ve ikincisini yeni bir erişim belirteci istemek için kullanabilir.
Volexity ayrıca tespit ettikleri kampanyalarla ilişkili uzlaşma göstergeleri de sağlamıştır.