Uzmanlar, Microsoft 365 Oturum Açma Kimlik Bilgilerini Çalmak İçin Kullanılan Çok Katmanlı Yönlendirme Taktiği Tespit Etti


31 Tem 2025Ravie LakshmananKimlik avı / tehdit istihbaratı

Microsoft 365 Kimlik Hırsızlık Denemeleri

Siber güvenlik araştırmacıları, ProofPoint ve Intermedia’dan savunmaları atlamaya kadar bağlantı sarma hizmetlerini kötüye kullanarak kötü niyetli yükleri gizleyen yeni bir kimlik avı kampanyasının ayrıntılarını açıkladılar.

Cloudflare e -posta güvenlik ekibi, “Bağlantı sarma, tıklanan tüm URL’leri bir tarama hizmetinden yönlendirerek kullanıcıları korumak için ProofPoint gibi satıcılar tarafından tasarlandı ve tıklama anında bilinen kötü niyetli hedefleri engellemelerine izin veriyor.” Dedi.

“Bu bilinen tehditlere karşı etkili olsa da, sarılmış bağlantı tıklama sırasında tarayıcı tarafından işaretlenmediyse saldırılar hala başarılı olabilir.”

Son iki ayda gözlemlenen etkinlik, tehdit aktörlerinin meşru özellikleri ve güvenilir araçları kendi yararlarına ve kötü niyetli eylemler gerçekleştirmek için farklı yolları nasıl bulduğunu ve bu durumda kurbanları Microsoft 365 kimlik avı sayfalarına yönlendirmeyi bir kez daha gösteriyor.

Bağlantı sarmasının kötüye kullanılmasının, bir kuruluş içindeki özelliği zaten kullanan e -posta hesaplarına yetkisiz erişim elde etmeyi içermesi dikkat çekicidir.[.]com/v2/url? U =).

Siber güvenlik

Bir başka önemli husus, Cloudflare’nin “Çok Sevimli Yönlendirme Kötüye Kullanımı” olarak adlandırdığı şeyle ilgilidir, bu da tehdit aktörlerinin ilk önce kötü amaçlı bağlantılarını bitly gibi bir URL kısaltma hizmeti kullanarak gizledikleri ve daha sonra kısaltılmış bağlantıyı bir e-posta mesajındaki kısaltılmış bağlantıyı bir kanıt noktası güvenli hesap aracılığıyla göndererek ikinci kez gizlenmesine neden olur.

Bu davranış, kurbanı kimlik avı sayfasına götürmeden önce URL’nin iki seviyeden gizleme – Bitly ve Proofpoint’in URL savunması – geçtiği bir yönlendirme zinciri oluşturur.

Web Altyapı Şirketi tarafından gözlemlenen saldırılarda, kimlik avı mesajları, sesli mesaj bildirimleri olarak maskelenir, alıcıları onları dinlemek için bir bağlantıya tıklamaya ve sonuçta kimlik bilgilerini yakalamak için tasarlanmış sahte bir Microsoft 365 Kimlik Avı sayfasına yönlendirmeye çağırıyor.

Alternatif enfeksiyon zincirleri, kullanıcıları Microsoft ekiplerinde alınan sözde bir belgenin kullanıcılarına bildiren ve bubi tuzaklı köprüleri tıklamaya kandıran aynı tekniği kullanır.

Bu saldırıların üçüncü bir varyasyonu, okunmamış mesajlara sahip olduklarını ve mesajlara gömülü “ekiplerde yanıt” düğmesine tıklayabileceklerini iddia ederek e -postalardaki ekipleri taklit eder.

“Meşru urlefense ile kötü niyetli hedefleri gizleyerek[.]kanıt noktası[.]com ve url[.]E -posta koruma URL’leri, bu kimlik avı kampanyalarının güvenilir bağlantı sarma hizmetlerini kötüye kullanması, başarılı bir saldırı olasılığını önemli ölçüde artırıyor. “Dedi.

Geliştirme, geleneksel anti-spam ve aks anti-pishislik korumalarını aşmak ve çok aşamalı kötü amaçlı yazılım enfeksiyonlarını başlatmak için ölçeklenebilir vektör grafikleri (SVG) dosyalarını silahlandıran kimlik avı saldırılarında bir artıştan geliyor.

Siber güvenlik

New Jersey Siber Güvenlik ve İletişim Entegrasyon Hücresi (NJCCIC) geçen ay, “JPEG veya PNG dosyalarının aksine, SVG dosyaları XML’de yazılmış ve destek JavaScript ve HTML kodunu destekliyor.” “Zararsız SVG dosyalarına kötü amaçlı kodları yerleştirerek kullanılabilen komut dosyaları, köprü ve etkileşimli öğeler içerebilirler.”

Kimlik avı kampanyaları ayrıca, tıklandığında, gerçekçi görünümlü bir arayüzü taklit eden sahte bir sayfaya bir yönlendirme zincirini tetikleyen ve daha sonra toplantıya yeniden katılmalarını isteyen bir kimlik avı sayfasına götüren bir yönlendirme zincirini tetikleyen sahte zoom video konferans bağlantılarını da dahil ettikleri gözlemlenmiştir.

Son bir raporda, “Ne yazık ki, kurbanın IP adresi, ülkesi ve bölgesi ile birlikte ‘yeniden birleştirme’ yerine, ‘güvenli, şifreli iletişimler’ için kötü şöhretli bir mesajlaşma uygulaması olan Telegram aracılığıyla söndürüldü ve tehdit aktörüne gönderildi.” Dedi.



Source link