Proofpoint’teki tehdit araştırmacıları şu anda kullanıcı kimlik bilgilerini tehlikeye atmak için OAuth yeniden yönlendirme mekanizmalarını kullanan iki sofistike ve yüksek hedefli siber saldırı kampanyasını izliyor.
Bu saldırılar, platformda paylaşılan bir rapora göre, hesap devralmalarını (ATO’lar) kolaylaştırmak için tasarlanmış Microsoft 365 temalı kimlik kimlik avına odaklanan gelişmiş marka takviyesi tekniklerini kötü amaçlı yazılım proliferasyonu ile birleştirir.
Saldırının temel özellikleri
- OAuth Yeniden Yönlendirme Mekanizması: Saldırganlar, kullanıcıları sahte oturum açma sayfalarına yönlendirerek güvenli yetkilendirme için kullanılan bir protokol olan OAuth’u kullanır. Bu yanlış yönlendirme hilesi, saldırganların kullanıcı adları ve şifreler de dahil olmak üzere giriş bilgilerini kesmesine olanak tanır.
- Marka taklit etme: Saldırganlar, Microsoft 365 ve diğer saygın markaları taklit etmek için sofistike marka taklit yöntemleri kullanıyor. Bu taktik, potansiyel kurbanlarla güven oluşturmaya yardımcı olur ve hedeflerin bilmeden hassas bilgiler sağlama olasılığını artırır.
- Kötü amaçlı yazılım proliferasyonu: Kimlik bilgisi avına ek olarak, bu kampanyalar ayrıca kötü amaçlı yazılımların dağıtımını da içerir. Bir cihaza kötü amaçlı yazılım yüklendikten sonra, ek hassas bilgiler çıkarabilir veya daha fazla yetkisiz erişimi kolaylaştırabilir.
- Hedeflenen yaklaşım: Bu kampanyalar, kuruluşlar içindeki belirli bireylere veya gruplara odaklanarak oldukça hedeflenmiştir. Bu uyarlanmış yaklaşım, saldırganların değerli hedefleri belirlemek için kapsamlı bir keşif yaptığını ve saldırıları daha etkili hale getirdiğini göstermektedir.
OAuth yeniden yönlendirme ve kimlik bilgisi avı kombinasyonu, Microsoft 365 kullanan işletmeler ve bireyler için önemli riskler oluşturmaktadır.
Başarılı olursa, bu saldırılar hassas verilere, finansal kayıplara ve itibar hasarına yetkisiz erişime yol açabilir.
Ayrıca, tanınmış marka taklitinin kullanımı, meşru hizmetlere olan güveni aşındırarak gerçek ve kötü niyetli iletişim arasında ayrım yapma çabalarını karmaşıklaştırabilir.
Koruma önerileri
Bu tehditlere karşı korunmak için kullanıcılar ve kuruluşlar şunlar olmalıdır:
- URL’leri doğrulayın: Giriş kimlik bilgilerini girmeden önce daima URL’lerin gerçekliğini kontrol edin.
- MFA kullanın: Güvenlik katmanı eklemek için çok faktörlü kimlik doğrulama (MFA) uygulayın.
- Normal güncellemeler: Yazılım ve güvenlik çözümlerini en son yamalarla güncel tutun.
- Çalışan Eğitimi: Kullanıcıları kimlik avı girişimlerini ve güvenlik en iyi uygulamalarının önemini tanıma konusunda eğitin.
Bu kampanyalar gelişmeye devam ettikçe, bu tür saldırıları önlemede ve azaltmada uyanıklık ve farkındalık çok önemlidir.
İşletmeler, verilerini ve ilgi alanlarını etkili bir şekilde korumak için siber güvenlik duruşlarını artırmada proaktif kalmalıdır.
Sonuç olarak, tehdit manzarası daha karmaşık olmaya devam ederken, bu saldırı yöntemlerini anlamak ve proaktif önlemler almak önemli kayıpları önlemeye yardımcı olabilir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.