Github, 16 Eylül'de başlayan ve kullanıcılarını Circleci sürekli entegrasyon ve dağıtım platformunu taklit eden e -postalarla hedefleyen devam eden bir kimlik avı kampanyası uyarıyor.
Sahte mesajlar, alıcılara kullanıcı terimleri ve gizlilik politikasının değiştiğini ve değişiklikleri kabul etmek ve hizmetleri kullanmaya devam etmek için GitHub hesaplarında oturum açmaları gerektiğini bildirir.
Tehdit aktörlerinin amacı, GitHub hesap kimlik bilgilerini ve iki faktörlü kimlik doğrulama (2FA) kodlarını ters vekiller aracılığıyla aktararak çalmaktır.
Çok faktörlü kimlik doğrulama (MFA) için donanım güvenlik anahtarlarıyla korunan hesaplar bu saldırıya karşı savunmasız değildir.
Github Çarşamba günü bir danışmanlıkta, “Github'ın kendisi etkilenmese de, kampanya birçok kurban örgütünü etkiledi” diyor.
Circleci ayrıca, kötü amaçlı kampanyanın farkındalığını artırmak için forumlarında bir bildirim yayınladı ve platformun kullanıcılardan asla hizmet şartlarındaki değişiklikleri görüntülemek için kimlik bilgileri girmelerini istemeyeceğini açıkladı.
Circleci'nin bildiriminin “Circleci'den gelen e-postalar yalnızca Circleci.com veya alt alanlarına bağlantılar içermelidir”.
Siz veya ekibinizdeki birisinin bu e -postadaki bir bağlantıyı yanlışlıkla tıklamış olabileceğine inanıyorsanız, lütfen hem GitHub hem de Circleci için kimlik bilgilerinizi derhal olarak döndürün ve herhangi bir yetkisiz etkinlik için sistemlerinizi denetleyin
Kimlik avı mesajlarını dağıtan kimlik avı alanları, resmi circleci (circleci.com) için bunları taklit etmeye çalışır. Şimdiye kadar, aşağıdakiler doğrulandı:
Geçerli hesap kimlik bilgileri aldıktan sonra, tehdit aktörleri kişisel erişim belirteçleri (PATS) oluşturur, OAuth uygulamalarına izin verir ve bazen bir şifre sıfırlamasından sonra bile devam etmek için hesaba SSH anahtarları ekler.
Github, uzlaşmadan hemen sonra özel depolardan içerik açığa çıktığını gördüğünü bildiriyor. Tehdit oyuncusu, izlemeyi zorlaştırmak için VPN veya proxy hizmetlerini kullanır.
Geri ihlal edilen hesabın organizasyon yönetimi izinleri varsa, bilgisayar korsanları yeni kullanıcı hesapları oluşturur ve kalıcılığı korumak için bunları kuruluşa ekler.
Github, sahtekarlık belirtilerinin tespit edilebileceği hesapları askıya aldı. Platform, olayla ilgili kişiselleştirilmiş bildirimler görecek olan etkilenen kullanıcılar için şifreleri sıfırlamaya sahiptir.
GitHub'dan bir bildirim almadıysanız, ancak kimlik avı kampanyasının kurbanı olabileceğinize inanmak için geçerli bir gerekçesiniz varsa, öneri hesap şifrenizi ve 2FA kurtarma kodlarınızı sıfırlamak, patslarınızı gözden geçirmek ve mümkünse kullanmaya başlamaktır. bir donanım MFA anahtarı.
Github ayrıca, gizli bilgisayar korsanlarının hesaplarından ödün vermemesini sağlamak için tüm kullanıcıların düzenli olarak gerçekleştirmesi gereken bu güvenlik kontrollerini de listeler.
OKTA bir kerelik MFA Passcodes Twilio Cyberattack'da maruz kaldı
Yeni MFA-Bypassing kimlik avı kiti ile hedeflenen Microsoft hesapları
MFA Yorgunluk: Hacker'ların yüksek profilli ihlallerde yeni favori taktiği
Twilio Hackers, Masif Okta Kimlik Avı Saldırısında 130'dan fazla orgs'a çarptı
Bilgisayar korsanları, BEC Scams için Microsoft 365 hesaplarını izlemek için AITM saldırısını kullanıyor
Kaynak: Bleeping Computer