Devam eden bir bulut hesabı devralma kampanyası, üst düzey yöneticilerin hesapları da dahil olmak üzere yüzlerce kullanıcı hesabını ve düzinelerce Microsoft Azure ortamını etkiledi.
Tehdit aktörleri, devam eden bu çabanın bir parçası olarak, paylaşılan belgelerdeki özelleştirilmiş kimlik avı tuzaklarıyla kullanıcılara saldırıyor.
Silah haline getirilen bazı belgelerde, tıklandığında kullanıcıları hassas bilgileri çalmak ve mali dolandırıcılık yapmak için kötü amaçlı bir kimlik avı web sayfasına yönlendiren “Belgeyi görüntüle” bağlantıları yerleştirilmiştir.
Canlı saldırı simülasyonu Web Semineri, hesap ele geçirmenin çeşitli yollarını gösterir ve web sitelerinizi ve API’lerinizi ATO saldırılarına karşı korumaya yönelik uygulamaları gösterir.
Yerinizi Ayırın
Saldırganlar Çok Çeşitli Bireyleri Hedef Alıyor
Tehdit aktörlerinin, çeşitli kuruluşlardan farklı unvanlara sahip geniş bir yelpazedeki kişileri hedef aldığı ve dünya çapında yüzlerce kullanıcıyı etkilediği görülüyor.
Proofpoint araştırmacıları Cyber Security News ile şunları paylaştı: “Etkilenen kullanıcı tabanı, Satış Direktörleri, Hesap Yöneticileri ve Finans Yöneticileri dahil olmak üzere sık sık hedef alınan geniş bir pozisyon yelpazesini kapsıyor.”
“Başkan Yardımcısı, Operasyonlar”, “Mali İşler Direktörü ve Sayman” ve “Başkan ve CEO” gibi yönetici pozisyonlarında bulunan kişiler de hedeflenenler arasındaydı.”
Tehdit aktörleri, hedefledikleri pozisyonların çeşitliliğinden de görülebileceği gibi, kurumsal faaliyetler genelinde önemli kaynaklara ve sorumluluklara farklı derecelerde erişime sahip olan hesapları tehlikeye atmayı amaçlayan gerçekçi bir yaklaşıma sahiptir.
Bu kampanyada araştırmacılar, saldırganların saldırı zincirinin erişim aşamasında kullandığı belirli bir Linux kullanıcı aracısının kullanımını gözlemledi.
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, Gecko gibi) Chrome/120.0.0.0 Safari/537.36
‘OfficeHome’ oturum açma uygulamasına öncelikli olarak bu kullanıcı aracısını kullanan saldırganlar ve aşağıdakiler gibi diğer yerel Microsoft365 uygulamaları tarafından erişilir:
- ‘Office365 Shell WCSS-Client’ (Office365 uygulamalarına tarayıcı erişiminin göstergesi)
- ‘Office 365 Exchange Online’ (güvenlik ihlali sonrası posta kutusunun kötüye kullanılması, veri hırsızlığı ve e-posta tehditlerinin çoğalmasının göstergesi)
- ‘Oturumlarım’ (saldırganlar tarafından MFA manipülasyonu için kullanılır; bu teknik hakkında daha fazla bilgi için son Siber Güvenlik Ayın Durağı blogumuza bakın)
- ‘Benim uygulamalarım’
- ‘Benim profilim’
Saldırganlar sistemlere kalıcı olarak erişmeye devam etmek için kendi MFA tekniklerini kullanır. Saldırganlar, SMS veya telefon çağrıları yoluyla kimlik doğrulaması yapmak için ek telefon numaralarının kaydedilmesi gibi çeşitli kimlik doğrulama tekniklerini seçer.
Suçlular, kullanıcı kimlik bilgileri, dahili güvenlik protokolleri ve finansal varlıklar gibi gizli verilere erişebilir ve bunları indirebilir.
Posta kutusu erişimi, bireysel kullanıcı hesaplarını kimlik avı tehditleriyle hedeflemek ve güvenliği ihlal edilmiş kuruluşlar arasında yatay olarak geçiş yapmak için de kullanılır.
Etkilenen şirketlerin finans ve insan kaynakları departmanlarına, mali dolandırıcılık yapma amacıyla dahili e-postalar gönderiliyor.
Saldırganlar, faaliyetlerini gizlemek ve kurbanlarının gelen kutularından kötü niyetli faaliyet kanıtlarını silmek için özel gizleme kuralları tasarlar.
Araştırmacılar, “Saldırganların, yetkisiz faaliyetlerin görünürdeki coğrafi kökenini hedeflenen kurbanlarınkiyle aynı hizaya getirmek ve coğrafi sınırlama politikalarından kaçınmak için proxy hizmetleri kullandıkları gözlemlendi” dedi.
Bu nedenle, bulut ortamınızda hesap ele geçirme (ATO) ve önemli kaynaklara olası yasa dışı erişim durumlarına karşı dikkatli olun. Güvenlik çözümleri, hem başlangıçtaki hesap güvenliği ihlali hem de güvenlik ihlali sonrası eylemlerin kesin ve hızlı bir şekilde tanımlanmasının yanı sıra, kötüye kullanılan hizmet ve uygulamalara ilişkin bilgiler sunmalıdır.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.