100’den fazla küresel kuruluştaki üst düzey yöneticiler, bulut hesabı devralma olaylarıyla sarsıldı.
Ters proxy mimarisi kullanan kurnaz bir kimlik avı aracı olan EvilProxy’nin gücünden yararlanan saldırganlar, çok faktörlü kimlik doğrulama (MFA) savunmalarını aşmayı başardılar ve bu, bilgisayar korsanları ve kuruluşlar arasında artan silahlanma yarışını yansıtıyor.
EvilProxy Açıklandı:
Güçlü bir kimlik avı aracı olan EvilProxy, tehdit aktörlerinin kimlik bilgilerini ve oturum tanımlama bilgilerini gerçek zamanlı olarak çalmak için Ortadaki Düşman (AitM) kimlik avı kitlerini (EvilProxy gibi) nasıl giderek daha fazla kullandığını gösteriyor.
Saldırganlar, kendin yap yaklaşımıyla Hizmet Olarak MFA Kimlik Avı’nı (PhaaS) geliştirdi.
Çeşitli çevrimiçi hizmetler için önceden yapılandırılmış kitlere erişim sağlayarak MFA kimlik avını daha erişilebilir hale getirir.
Prova noktası araştırmacıları, binlerce Microsoft 365 kullanıcı hesabını hedeflemek için EvilProxy kullanan devam eden bir karma kampanyayı izliyor.
Bu kampanya, Mart ve Haziran 2023 arasında dünya genelinde hedeflenen yüzlerce kuruluşa gönderilen yaklaşık 120.000 kimlik avı e-postasıyla genel olarak yayıldı.
Saldırganlar başlangıçta işletme gider yönetim sistemi Concur, DocuSign ve Adobe gibi bilinen güvenilir hizmetlerin kimliğine büründü.
Kötü amaçlı Microsoft 365 kimlik avı web sitelerine bağlantılar içeren sahte e-posta adresleri, siber güvenlik çözümlerini engellemek için tarama engelleme ve meşru yeniden yönlendiriciler ((youtube gibi) aracılığıyla çok adımlı bir bulaşma zinciri yoluyla marka kimliğine bürünme[.]com, bs.serving-sys[.]com, vb.) saldırının başarısına katkıda bulundu.
API Saldırıları %400 Arttı – API’lerinizi Pozitif Güvenlik Modeli ile Korumanın Temellerini Anlayın – Ücretsiz Web Semineri İçin Şimdi Kaydolun
Şimdi üye Ol
VIP Hedefleme ve Hesap Ele Geçirme:
Yüksek değerli hedefler, özellikle üst düzey yöneticiler ve VP’ler, bu kampanyanın hedefinde yer alıyordu.
Bu tapu sahipleri, hassas verilere ve finansal varlıklara potansiyel erişimleri nedeniyle özellikle tehdit aktörleri tarafından değer görmektedir.
Saldırganlar, güvenliği ihlal edilmiş hesaplara saniyeler içinde erişim sağladı ve hızlı yürütme için otomasyondan yararlandı.
Saldırganlar sızdıktan sonra çok faktörlü kimlik doğrulama yöntemlerini ustaca manipüle ederek kurban kuruluşun bulut ortamındaki yerlerini sağlamlaştırdı.
Yerel Microsoft 365 uygulamaları, saldırganların uzun süreli erişim sağlayarak MFA’yı manipüle etme araçları haline geldi.
Bu aşama, saldırganın yanal hareketten finansal dolandırıcılığa kadar değişen tekniklerle yetkisiz erişimden yararlanma becerisini işaret ediyordu.
Gelişen bu tehdit ortamı, MFA’nın varlığında bile daha fazla ihtiyatlı olma ihtiyacının altını çiziyor.
EvilProxy’deki artış, ters proxy tehditlerinde yeni bir çağın sinyallerini vererek savunma stratejilerindeki boşlukları ortaya çıkarıyor.
Saldırganların gelişmiş kimlik avı kitlerine yönelmesi, hibrit saldırılara karşı proaktif bir yaklaşım gerektirir.
MFA bile karmaşık tehditlere karşı gümüş bir kurşun değildir ve çeşitli birleşik e-postadan buluta saldırı biçimleri tarafından atlanabilir.
Kuruluşlar, bu amansız tehditleri engellemek için kullanıcı bilincini geliştirirken e-posta, bulut ve web güvenliğine öncelik vermelidir.
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.