Push Security’deki araştırmacılar, Microsoft 365 (M365) sistemlerini hedefleyen ve kimlik bilgisi hırsızlığını etkinleştirmek için Active Directory Federasyon Hizmetleri (ADFS) kullanan yeni bir kimlik avı kampanyası keşfettiler.
Bu saldırı vektörü, Microsoft’un kimlik doğrulaması yönlendirme mekanizmalarını kullanır ve meşru bir hizmeti kimlik avı operasyonları için bir kanal haline getirir.
Gelişmiş kimlik avı altyapısı
Kampanya, “Office 365” (genellikle “Office 265” olarak yanlış yazılan) gibi terimleri arayan kullanıcıların resmi Microsoft kaynakları olarak maskelenen bağlantılarla karşılaştığı Google Arama Sonuçları aracılığıyla dağıtılan kötüverizasyon lurs ile başlar.
Google izleme parametreleri ile eklenen bu reklamlar, kurbanları, sonunda çok faktörlü kimlik doğrulamasını (MFA) engellemek ve atlamak için tasarlanmış bir ters proxy kimlik avı alanına inen bir zincir aracılığıyla yönlendirir.
Kimlik avı kitinin kendisi, Microsoft’un oturum açma sayfasını klonlayan standart bir saldırgan (AITM) kurulumu, ancak inovasyon, Push müşterilerini hedefleyen gerçek dünya kitlerinin uygulamalı diseksiyonlarından yararlanarak teslimat ve kaçınma taktiklerinde yatıyor.
Bu kampanyanın merkezinde, Microsoft’un Active Directory’yi Azure AD ve M365 gibi bulut hizmetleriyle entegre etmek için Microsoft’un Tek Oturum Açma (SSO) çözümü olan ADFS’nin kötüye kullanılması bulunmaktadır.
Yönlendirme zincirinin teknik dökümü
Saldırganlar, kötü niyetli bir ADFS sunucusu ile yapılandırılmış özel bir Microsoft kiracısı kurar ve bluegraintours gibi sahte bir alan eklemelerine izin verir[.]kimlik doğrulama akışına com.
“John Doe” ve “Jane Smith” gibi takma adlı yazarların fabrikasyon blog yayınları da dahil olmak üzere AI tarafından üretilen içeriğe sahip zararsız bir seyahat blogu olarak gizlenen bu alan adı, görünmez bir yeniden yönetmen olarak hizmet vermektedir.
Mağdurlar kötüverizasyon bağlantısını tıkladıklarında, Outlook.office.com’dan bu alandan kimlik avı uç noktasına kadar huni edilir (örn.[.]Offirmtm[.]com), Microsoft’un kendisi/adfs/ls/yol üzerinden yönlendirmeyi gerçekleştirir.
Bu, kimlik sağlayıcı alanlarının proxy kimlik doğrulamasına zehirlendiği Samljacking tekniklerine benzeyen meşru kiracıya özgü iniş sayfalarını taklit eder.
Kurulum, güvenilir üçüncü taraf altyapısına barındırarak URL tabanlı algılamaları, otomatik tarayıcıları ve etki alanı kategorizasyonuna dayanan proxy filtrelerini karmaşıklaştırarak çıkarır.
Kimlik avı sayfasının yalnızca geçerli kullanıcı aracıları veya coğrafi durumlar gibi belirli koşullar altında etkinleştirildiği koşullu yükleme yoluyla daha fazla kaçınma elde edilir; Aksi takdirde, analistler statik analizi engelleyerek Office.com’a geri döner.
Yönlendirmeler, sekmeler, formlar ve girişler dahil olmak üzere göz atma zincirlerini izleyen Push’un zaman çizelgeleri özelliği, ilk Google reklamından bu akışı kimlik bilgisi yakalamasına eşleştirmede, doğrudan kimlik avı e-postası katılımını ortaya koymuyor ve sosyal medya, anlık haberciler veya ekler gibi e-posta olmayan dağıtım vektörlerine doğru kaymayı vurguladı.
Bu kampanya, ADFS’nin bir Microsoft kiracısı oluşturabilen herhangi bir saldırgan tarafından yalnızca kredi kartı gerektiren düşük bir bariyer oluşturabilen bir düşük bariyer oluşturabilen işlevsel açık yönlendirmeler olarak ele alarak, kimlik avı kaçakçılığının gelişen sofistike olmasının altını çiziyor.
Outlook.com’daki açık bir yönlendirme gibi yüksek etkili güvenlik açıklarına paraleldir ve sağlam izleme olmadan ortamlardaki riskleri artırır.
Tespit için kuruluşlar, anormal ADF’ler için proxy günlüklerini, giriş.microsoftonline.com’dan/ADFS/LS/yollarla tanıdık olmayan alanlara yönlendirerek ADFS kullanan kurulumlarda meşru olanları filtrelemelidir.
Rapora göre, Google’ın Office.com’a yönlendirilmesi reklam parametreleriyle, kötüverizasyon varyantlarını işaretleyebilirken, tarayıcı çapında reklam engelleyiciler bu cazibe kanalını daha geniş teslimat yöntemlerine karşı kısalıyorlar.
Daha geniş öneriler arasında, ortaya çıkan kitler için gelişmiş tehdit istihbarat beslemeleri ve URL’lerin ötesindeki AITM modellerini tespit etmek için davranışsal analiz gibi araç agnostik sertleştirme bulunmaktadır.
Kimlik avı e-posta merkezli savunmaların ötesinde geliştikçe, uç nokta telemetrisini kapsamlı yönlendirme zinciri görünürlüğüyle bütünleştirmek, bu araştırma odaklı tehditlere karşı koymak için gerekli hale gelir ve güvenlik açığı araştırmalarında ve tehdit istihbarat iş akışlarında uyarlanabilir, çok katmanlı güvenlik duruşlarına olan ihtiyacı vurgular.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!