Microsoft, OAuth'u Kripto Para Madenciliği ve Kimlik Avı için Kullanan Bilgisayar Korsanlarına Karşı Uyardı
Microsoft, saldırganların OAuth uygulamalarını kripto para madenciliği için sanal makineler (VM'ler) dağıtmak ve kimlik avı saldırıları başlatmak için bir otomasyon aracı olarak kullandığı konusunda uyardı.
Microsoft Tehdit İstihbaratı ekibi bir analizde, "Tehdit aktörleri, kötü amaçlı etkinlikleri gizlemek için kötüye kullanabilecekleri OAuth uygulamaları oluşturmak, değiştirmek ve bunlara yüksek ayrıcalıklar vermek için kullanıcı hesaplarını tehlikeye atıyor" dedi.
"OAuth'un kötüye kullanılması, tehdit aktörlerinin başlangıçta güvenliği ihlal edilmiş hesaba erişimlerini kaybetseler bile uygulamalara erişimi sürdürmelerini de sağlıyor."
Açık Yetkilendirme'nin kısaltması olan OAuth, uygulamalara parolaları teslim etmeden diğer web sitelerindeki bilgilere güvenli bir şekilde erişme olanağı sağlayan bir yetkilendirme ve yetkilendirme çerçevesidir (kimlik doğrulamanın aksine).
Microsoft tarafından detaylandırılan saldırılarda, tehdit aktörlerinin OAuth uygulamaları oluşturma veya değiştirme izinlerine sahip, güvenliği zayıf hesaplara karşı kimlik avı veya parola püskürtme saldırıları başlattığı gözlemlendi.
Bu tür düşmanlardan biri, bir OAuth uygulaması oluşturmak ve kripto madenciliği için VM'leri dağıtmak için güvenliği ihlal edilmiş bir kullanıcı hesabından yararlanan Storm-1283'tür. Ayrıca, saldırganlar, aynı hedefleri kolaylaştırmak için fazladan bir kimlik bilgileri kümesi ekleyerek mevcut OAuth uygulamalarını erişebildikleri hesaba değiştirdiler.
Başka bir örnekte, kimliği belirsiz bir aktör, kullanıcı hesaplarının güvenliğini ihlal etti ve kalıcılığı sürdürmek ve hedeflerinden oturum çerezlerini yağmalamak ve kimlik doğrulama önlemlerini atlamak için ortadaki düşman (AiTM) kimlik avı kiti kullanan e-posta kimlik avı saldırıları başlatmak için OAuth uygulamaları oluşturdu.
Microsoft, "Bazı durumlarda, çalınan oturum çerezi yeniden oynatma etkinliğinin ardından aktör, Microsoft Outlook Web Uygulaması'nda (OWA) 'ödeme' ve 'fatura' gibi belirli anahtar sözcükleri içeren e-posta eklerini açarak BEC mali dolandırıcılık keşfi gerçekleştirmek için güvenliği ihlal edilmiş kullanıcı hesabından yararlandı" dedi.
Oturum çerezlerinin çalınmasının ardından teknoloji devi tarafından tespit edilen diğer senaryolar, kimlik avı e-postalarını dağıtmak ve büyük ölçekli spam etkinliği gerçekleştirmek için OAuth uygulamalarının oluşturulmasını içerir. Microsoft, ikincisini Storm-1286 olarak izliyor.
Bu tür saldırılarla ilişkili riskleri azaltmak için kuruluşların çok faktörlü kimlik doğrulamasını (MFA) zorunlu kılması, koşullu erişim ilkelerini etkinleştirmesi ve uygulamaları ve onaylanan izinleri düzenli olarak denetlemesi önerilir.
Benzer Haberler
Kötü Amaçlı NPM Paketleri, SSH Arka Kapısı ile Geliştiricilerin Ethereum Cüzdanlarını Hedef Alıyor
Binance, Kripto Para Kullanıcılarını Hedef Alan Artan Clipper Kötü Amaçlı Yazılım Saldırılarına Karşı Uyardı
Rust Tabanlı P2PInfect Botnet, Madenci ve Fidye Yazılımı Yükleriyle Gelişiyor
ABD, Rusya'nın Yaptırımlardan Kaçmasına Yardım Ettiği İçin 3 Kripto Para Borsasına Yaptırım Uyguladı
Yeni Kimlik Avı Kiti, Kripto Para Birimi Kullanıcılarını Hedeflemek için SMS ve Sesli Aramalardan Yararlanıyor
Kuzey Koreli Bilgisayar Korsanları Kötü Amaçlı NPM Paketleriyle Geliştiricileri Hedef Alıyor
RustDoor macOS Backdoor, Kripto Para Firmalarını Sahte İş Teklifleriyle Hedefliyor
BTC-e ile Bağlantılı Belarus Vatandaşı 4 Milyar Dolarlık Kripto Para Aklama Suçundan 25 Yıl Hapis Cezasıyla Karşı Karşıya