adlı yeni bir hizmet olarak kimlik avı (PhaaS veya PaaS) platformu büyüklük en azından 2022’nin ortalarından beri Microsoft 365 bulut hizmetinin iş kullanıcılarını hedeflemek için siber suçlular tarafından kullanılıyor ve kimlik avı saldırıları için giriş çıtasını etkili bir şekilde düşürüyor.
Cisco Talos araştırmacısı Tiago Pereira, “Büyüklük şimdilik yalnızca Microsoft 365 kimlik avı sayfalarına odaklanıyor ve bağlı kuruluşlarına son derece ikna edici tuzak ve oturum açma sayfaları oluşturan bir ek ve bağlantı oluşturucu sağlıyor” dedi.
“Kurbanın e-posta adresinin önceden doldurulması ve hedef kuruluşun gerçek Microsoft 365 oturum açma sayfasından çıkarılan uygun şirket logosu ve arka plan görüntüsünün görüntülenmesi gibi özellikler içerir.”
Greatness’i içeren kampanyalar, Aralık 2022 ve Mart 2023’te faaliyetlerde ani bir artış tespit edilen ABD, Birleşik Krallık, Avustralya, Güney Afrika ve Kanada’da bulunan üretim, sağlık ve teknoloji birimlerine sahiptir.
Greatness gibi kimlik avı kitleri, tehdit aktörlerine, çaylaklara veya başka kişilere uygun maliyetli ve ölçeklenebilir tek noktadan hizmet sunarak çeşitli çevrimiçi hizmetlerle ilişkili ikna edici oturum açma sayfaları tasarlamayı ve iki faktörlü kimlik doğrulama (2FA) korumalarını atlamayı mümkün kılar.
Spesifik olarak, otantik görünümlü aldatıcı sayfalar, kurbanlar tarafından girilen kimlik bilgilerini ve zamana dayalı tek seferlik parolaları (TOTP’ler) toplamak için ters bir proxy işlevi görür.
Saldırı zincirleri, açıldıktan sonra kullanıcıyı, alıcının e-posta adresinin önceden doldurulmuş olduğu bir açılış sayfasına yönlendiren ve şifresini ve MFA kodunu isteyen karmaşık JavaScript kodunu yürüten bir HTML eki içeren kötü amaçlı e-postalarla başlar.
Girilen kimlik bilgileri ve jetonlar, söz konusu hesaplara yetkisiz erişim elde etmek için daha sonra bağlı kuruluşun Telegram kanalına iletilir.
AiTM kimlik avı kiti ayrıca bağlı kuruluşun Telegram botunu yapılandırmasına, çalınan bilgileri takip etmesine ve hatta bubi tuzaklı ekler veya bağlantılar oluşturmasına olanak tanıyan bir yönetim paneliyle birlikte gelir.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Koltuğumu Kurtar!
Dahası, kimlik avı sayfasını yükleyebilmek için her bağlı kuruluşun geçerli bir API anahtarına sahip olması beklenir. API anahtarı ayrıca istenmeyen IP adreslerinin kimlik avı sayfasını görüntülemesini engeller ve kurban gibi görünerek gerçek Microsoft 365 oturum açma sayfasıyla perde arkası iletişimi kolaylaştırır.
Pereira, “Birlikte çalışan kimlik avı kiti ve API, bir ‘ortadaki adam’ saldırısı gerçekleştirerek kurbandan API’nin gerçek zamanlı olarak yasal oturum açma sayfasına göndereceği bilgileri talep ediyor” dedi.
“Bu, PaaS bağlı kuruluşunun, kurban MFA kullanıyorsa kimliği doğrulanmış oturum tanımlama bilgileriyle birlikte kullanıcı adlarını ve parolaları çalmasına olanak tanır.”
Bulgular, Microsoft’un 2FA korumalarını iyileştirmek ve ani bombalama saldırılarını savuşturmak için 8 Mayıs 2023’ten itibaren Microsoft Authenticator push bildirimlerinde sayı eşleştirmeyi zorunlu kılmaya başlamasıyla geldi.