Tehdit aktörleri, yasal Office 365 oturum açma portallarını taklit eden son derece ikna edici kimlik avı siteleri oluşturmak için Microsoft Azure Blob Depolama’dan yararlanıyor ve bu da Microsoft 365 kullanıcılarını ciddi kimlik bilgileri hırsızlığı riskine sokuyor.
Bu yöntem, güvenilir Microsoft altyapısından yararlanarak, sahte sayfalar Microsoft’un kendisi tarafından verilen resmi SSL sertifikalarıyla güvence altına alınmış gibi göründüğü için saldırıların tespit edilmesini zorlaştırıyor.
ALI TAJRAN kısa süre önce bu kampanyalarda bir artış olduğunu vurguladı; 17 Ekim 2025’te geniş çapta dolaşan uyarılar, işletmeler ve bireyler arasında acil tedbir alınması çağrısında bulundu.
Saldırı Azure Blob’dan Nasıl Yararlanıyor?
Kimlik avı şeması genellikle rutin Microsoft Forms anketleri veya belge paylaşımları gibi görünen bağlantıları içeren ve genellikle formlar.office gibi URL’lerle başlayan aldatıcı e-postalarla başlar.[.]com ve ardından benzersiz bir tanımlayıcı gelir.
Bu bağlantılara tıklayan mağdurlar, zararsız gibi görünen bir PDF indirme istemine yönlendiriliyor, ancak bu durum hızla sahte bir oturum açma sayfasında Microsoft 365 kimlik bilgilerinin talep edilmesine dönüşüyor.
Kötü amaçlı URL, özellikle kimlik avı formunu Azure’un blob depolama hizmetinde depolanan basit bir HTML dosyası olarak barındıran blob.core.windows.net altındaki alt alanları kullanarak windows.net’te sonlanır.
Görüntüler veya belgeler gibi yapılandırılmamış veriler için tasarlanan bu depolama çözümü, tarayıcılar ve uç nokta koruma araçları doğası gereği Azure uç noktalarına güvendiğinden, kimlik avına yanlışlıkla bir meşruiyet perdesi sağlar.
Kullanıcılar e-postalarını ve şifrelerini girdikten sonra kimlik bilgileri yakalanıp saldırganların kontrolündeki sunuculara gönderiliyor ve potansiyel olarak hassas e-postalara, dosyalara ve kiracı kaynaklarına erişim izni veriliyor.
Saldırganlar daha sonra kimlik doğrulama belirteçlerine müdahale etmek veya tüm kuruluşa sızmak için ayrıcalıkları yükseltebilir. 2018’deki tarihi raporlar, yasal belgelermiş gibi davranan temalı PDF eklerinin kullanıldığı benzer tuzaklara dikkat çekti; bu taktik, bugün daha karmaşık sosyal mühendislikle devam eden bir taktiktir.
Bu tehdide karşı koymak için güvenlik uzmanları, güvenlik duvarlarındaki veya web proxy’lerindeki *.blob.core.windows.net uç noktalarına giden tüm trafiğin engellenmesini ve yalnızca aşağıdakiler gibi belirli, güvenilir depolama hesaplarının beyaz listeye alınmasını önermektedir.
Bu ayrıntılı yaklaşım, meşru Azure operasyonlarını aksatmadan geniş erişimi engeller. Ayrıca, çok faktörlü kimlik doğrulamanın (MFA) etkinleştirilmesi ve anormal oturum açma işlemlerinin Microsoft Entra ID aracılığıyla izlenmesi, ihlallerin erken tespit edilmesini sağlayabilir.
Proaktif bir adım, kullanıcıların gerçek portalları sahtekarlardan ayırt etmesine yardımcı olmak için Microsoft 365 kiracınızdaki şirket markasını özelleştirmeyi, kuruluşunuzun logosunu, renklerini ve adını resmi oturum açma sayfalarında görüntülemeyi içerir.
Markalama olmadan, genel bir Microsoft oturum açma işlemi, kimlik avı taklitleriyle sorunsuz bir şekilde birleşerek kritik anlarda Microsoft kılavuz yöneticilerinin bu özelleştirmelerin hızlı bir şekilde uygulanmasına ilişkin kaynaklarına olan güvenini azaltabilir.
Bu kimlik avı çeşidi, bulut hizmetlerinin iki uçlu doğasının altını çiziyor: Azure Blob Depolama meşru kullanım için ölçeklenebilirlik ve güvenlik sunarken, tehdit aktörleri tarafından kötüye kullanıldığında bir silaha dönüşüyor.
Kuruluşlar, URL’leri inceleme konusunda kullanıcı eğitimine öncelik vermelidir; meşru Office 365 oturum açma işlemleri, blob depolama yollarına değil, her zaman login.microsoftonline.com adresine yönlendirilmelidir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
