Cisco Talos’taki siber güvenlik araştırmacıları kısa bir süre önce, tehdit aktörlerinin Greatness kimlik avı platformu aracılığıyla yaygın olarak kullanılan Microsoft 365 bulut tabanlı üretkenlik platformunu hedeflediklerini ve yalnızca bununla kalmayıp Aralık 2022 ile Mart 2023 arasında belirsiz bir artış fark ettiklerini doğruladılar.
Operasyonlarda kayda değer bir artış yaşayan Hizmet Olarak Kimlik Avı (PhaaS) platformu, aşağıdaki gibi ülkelerde Microsoft 365 kullanan kuruluşlara odaklandı:-
- Birleşik Devletler
- Kanada
- Birleşik Krallık
- Avustralya
- Güney Afrika
Aşağıda, mağdurların ağırlıklı olarak hedef alındığı ve çoğunluğunun ABD’de bulunduğu sektör ve endüstrilerden bahsetmiştik:-
- Üretme
- Sağlık hizmeti
- teknoloji
- Eğitim
- Emlak
- Yapı
- finans
- İş hizmetleri
Büyüklük Saldırı Akışı
“Büyüklük” adlı eksiksiz bir Hizmet Olarak Kimlik Avı, bir kimlik avı kampanyasını etkili bir şekilde yürütmek için gerekli tüm araçları sunar. Kullanıcıların yalnızca yönetici paneline bir API anahtarı aracılığıyla erişmesi ve bir saldırı başlatmak için hedef e-posta listesini sağlaması gerekir.
PhaaS platformu, kimlik avı sayfasını barındırmak ve HTML ekini oluşturmak gibi temel altyapıyı sağlayarak bağlı kuruluşlara e-posta içeriğini özelleştirme ve varsayılan ayarları değiştirme yetkisi verir.
Hizmet, HTML ekli bir kimlik avı e-postası gönderdikten sonra, kimlik avı sayfasını almak için “Büyüklük” sunucusuyla iletişim kuran tarayıcıda gizlenmiş bir JavaScript kodu yürütür.
Ayrıca hedef şirketin logosunu ve arka plan görüntüsünü orijinal Microsoft 365 oturum açma sayfasından otomatik olarak ekler.
Kurbanın parolasını aldıktan sonra PaaS, Microsoft 365’te oturum açmak için kurbanın kimliğini simüle edecek ve etkinleştirilmişse Microsoft 365 tarafından belirtilen MFA yöntemini kullanarak kimlik doğrulaması yapmasını isteyecektir.
Hizmet, MFA’yı alır ve daha sonra Telegram veya web paneli aracılığıyla bağlı kuruluşa gönderilen oturum çerezlerini toplamak için oturum açma işlemini tamamlar.
Toplamda, hizmetin içerdiği üç bileşen vardır ve aşağıda bunlardan bahsetmiştik:-
- Kimlik avı kiti
- hizmet API’sı
- Bir Telegram botu veya e-posta adresi
Greatness’tan yararlanmak için bağlı kuruluşlar geçerli bir API anahtarı gerektirir; bu anahtar olmadan kimlik avı sayfası yüklenmez ve API anahtarlarını panelde yapılandırabilirler.
Hizmet API’si, bağlı kuruluşun anahtarını doğrulayarak, yetkisiz IP adreslerini engelleyerek ve gerçek Microsoft 365 oturum açma sayfasıyla sorunsuz iletişimi kolaylaştırarak kurban bilgilerinin toplanmasını sağlayarak bir “ortadaki adam” saldırısı gerçekleştirmek için kimlik avı kitiyle işbirliği yapar. gerçek zamanda.
PaaS bağlı kuruluşunun kullanıcı adlarını, parolaları ve hatta kimliği doğrulanmış oturum tanımlama bilgilerini (özellikle MFA kullanımı durumunda) ayıklama becerisinden yararlanan bir Telegram botunun dahil edilmesi, geçerli tanımlama bilgilerinin hızlı bir şekilde bildirilmesini sağlayarak saldırganın yüksek değerli hedeflere anında erişmesini sağlar .
Ayrıca, tehdit aktörleri, çalınan kimlik bilgilerini, fidye yazılımı dağıtma veya kurumsal ağları ihlal etme gibi diğer bazı yasa dışı faaliyetleri gerçekleştirmek için de kullanır.