Microsoft, İş E-postası Uzlaşma Saldırılarında Dosya Barındırma Hizmetlerinin Artan Kullanımını Tespit Etti

Microsoft, kurumsal ortamlarda yaygın olarak kullanılan SharePoint, OneDrive ve Dropbox gibi meşru dosya barındırma hizmetlerini bir savunma kaçınma taktiği olarak kötüye kullanan siber saldırı kampanyaları konusunda uyarıyor.

Kampanyaların nihai hedefi geniş ve çeşitlidir ve tehdit aktörlerinin kimlikleri ve cihazları tehlikeye atmasına ve sonuçta finansal dolandırıcılık, veri hırsızlığı ve diğer uç noktalara yanal hareketle sonuçlanan iş e-postası uzlaşması (BEC) saldırıları gerçekleştirmesine olanak tanır.

Meşru internet hizmetlerinin (LIS) silahlandırılması, saldırganlar tarafından genellikle geleneksel güvenlik savunmalarını atlayacak ve ilişkilendirme çabalarını karmaşıklaştıracak şekilde meşru ağ trafiğine uyum sağlamak için benimsenen, giderek daha popüler hale gelen bir risk vektörüdür.

Bu yaklaşım, e-posta güvenlik korumalarından kaçınmak ve kötü amaçlı yazılım dağıtmak için bu hizmetlerin güveninden ve aşinalığından yararlandığı için güvenilmeyen sitelerde yaşama (LOTS) olarak da adlandırılır.

Microsoft, Nisan 2024'ün ortasından bu yana, kısıtlı erişime ve yalnızca görüntüleme kısıtlamalarına sahip dosyaları içeren meşru dosya barındırma hizmetlerinden yararlanan kimlik avı kampanyalarında yeni bir eğilim gözlemlediğini söyledi.

Bu tür saldırılar genellikle güvenilir bir satıcı içindeki bir kullanıcının güvenliğinin ihlal edilmesiyle başlar ve daha sonra hedef varlıkla paylaşmak için dosya barındırma hizmetindeki kötü amaçlı dosyaları ve yükleri sahneye koyma erişiminden yararlanır.

"Kimlik avı e-postaları yoluyla gönderilen dosyalar, yalnızca belirlenen alıcı tarafından erişilebilir olacak şekilde yapılandırılmıştır" dedi. "Bu, alıcının Dropbox, OneDrive veya SharePoint gibi dosya paylaşım hizmetinde oturum açmasını veya bir bildirim hizmeti aracılığıyla alınan tek seferlik bir parola (OTP) ile birlikte e-posta adreslerini girerek yeniden kimlik doğrulaması yapmasını gerektirir."

Dahası, kimlik avı saldırılarının bir parçası olarak paylaşılan dosyalar "salt görüntüleme" moduna ayarlanarak, dosya içindeki gömülü URL'lerin indirilmesi ve algılanması engellenir.

Paylaşılan dosyaya erişmeye çalışan bir alıcıdan, e-posta adresini ve e-posta hesabına gönderilen tek seferlik parolayı sağlayarak kimliğini doğrulaması istenir.

Başarılı bir şekilde yetkilendirildikten sonra, hedefe gerçek içeriği görüntülemek için başka bir bağlantıya tıklaması talimatı verilir. Ancak, bunu yapmak onları parolalarını ve iki faktörlü kimlik doğrulama (2FA) belirteçlerini çalan bir ortadaki düşman (AitM) kimlik avı sayfasına yönlendirir.

Bu, yalnızca tehdit aktörlerinin hesabın kontrolünü ele geçirmesini sağlamakla kalmaz, aynı zamanda BEC saldırıları ve finansal dolandırıcılık da dahil olmak üzere diğer dolandırıcılıkları sürdürmek için kullanır.

Microsoft Tehdit İstihbaratı ekibi, "Bu kampanyalar doğası gereği genel ve fırsatçı olsa da, sosyal mühendislik gerçekleştirmek, tespit edilmekten kaçınmak ve tehdit aktörünün erişimini diğer hesaplara ve kiracılara genişletmek için karmaşık teknikler içeriyor" dedi.

Gelişme, Sekoia'nın, Microsoft 365 oturum açma sayfalarını taklit eden HTML eklerini yayan e-posta kimlik avı kampanyaları yürütmek için diğer tehdit aktörlerine hizmet olarak kimlik avı (PhaaS) olarak satılan Mamba 2FA adlı yeni bir AitM kimlik avı kitini detaylandırmasıyla geldi.

Aylık 250 ABD Doları karşılığında abonelik esasına göre sunulan kit, Microsoft Entra ID, AD FS, üçüncü taraf SSO sağlayıcıları ve tüketici hesaplarını destekler. Mamba 2FA, Kasım 2023'ten bu yana aktif olarak kullanılmaktadır.

Fransız siber güvenlik şirketi, "Tek seferlik kodlar ve uygulama bildirimleri gibi kimlik avına dayanıklı olmayan MFA yöntemleri için iki adımlı doğrulamaları işliyor" dedi. "Çalınan kimlik bilgileri ve çerezler, bir Telegram botu aracılığıyla anında saldırgana gönderilir."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.