Microsoft, devasa bir kimlik avı saldırısının, Eylül 2021'den başlayarak, takip eden iş e-posta uzlaşma (BEC) saldırılarında kurbanların posta kutularına kazanılan erişimi kullanarak 10.000'den fazla kuruluşu hedeflediğini söyledi.
Tehdit aktörleri, Office 365 kimlik doğrulama sürecini (çok faktörlü kimlik doğrulama (MFA) ofis çevrimiçi kimlik doğrulama sayfasını taklit ederek korunan hesaplarda bile ofis 365 kimlik doğrulama sürecini ele geçirmek için tasarlanmış açılış sayfalarını kullandı.
Gözlemlenen bazı saldırılarda, potansiyel kurbanlar, hedeflerin HTML yönlendiricileri aracılığıyla gönderilmesini sağlayan bekçi olarak hareket eden HTML ekleri kullanılarak kimlik avı e -postalarından gelen iniş sayfalarına yönlendirildi.
Hedeflerin kimlik bilgilerini ve oturum çerezlerini çaldıktan sonra, bu saldırıların arkasındaki tehdit aktörleri kurbanların e -posta hesaplarına giriş yaptı. Daha sonra diğer kuruluşları hedefleyen İş E -posta Uzlaşma (BRC) kampanyalarına erişimlerini kullandılar.
"Ortada düşman (AITM) kimlik avı sitelerini kullanan büyük ölçekli bir kimlik avı kampanyası şifreleri çaldı, bir kullanıcının oturum oturumunu kaçırdı ve kullanıcı çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmiş olsa bile kimlik doğrulama işlemini atladı." Microsoft 365 Defender Araştırma Ekibi ve Microsoft Tehdit İstihbarat Merkezi (MSTIC) dedi.
"Saldırganlar daha sonra etkilenen kullanıcıların posta kutularına erişmek ve diğer hedeflere karşı takip eden iş e-posta (BEC) kampanyalarını gerçekleştirmek için çalınan kimlik bilgilerini ve oturum çerezlerini kullandılar."
Bu büyük ölçekli kimlik avı kampanyasında kullanılan kimlik avı süreci, yaygın olarak kullanılan EvilGinX2, Modlishka ve Muraena da dahil olmak üzere birkaç açık kaynak kimlik avı araç seti yardımıyla otomatikleştirilebilir.
Bu kampanyada kullanılan kimlik avı siteleri ters vekil olarak çalıştı ve hedeflerin kimlik doğrulama isteklerini iki ayrı taşıma katmanı güvenliği (TLS) oturumları aracılığıyla oturum açmaya çalıştıkları meşru web sitesine proxy yapmak için tasarlanmış web sunucularında barındırıldı.
Bu taktiği kullanılarak, saldırganların kimlik avı sayfası, şifreler ve daha da önemlisi oturum çerezleri de dahil olmak üzere, kaçırılan HTTP isteklerinden hassas bilgileri çıkarmak için kimlik doğrulama sürecini kesen ortadaki bir ajan olarak görev yaptı.
Saldırganlar, hedeflerin oturum çerezine ellerini aldıktan sonra, kurbanların uzlaşmış hesaplarda MFA etkinleştirmiş olsa bile, kimlik doğrulama işlemini atlamalarına izin veren kendi web tarayıcısına enjekte ettiler.
Bu tür saldırılara karşı savunmak için Microsoft, sertifika tabanlı kimlik doğrulama ve Fast Id Online (FIDO) V2.0 desteği ile "Phish'e dayanıklı" MFA uygulamalarının kullanılmasını önerir.
Korumayı artıracak diğer en iyi uygulamalar arasında şüpheli oturum açma girişimleri ve posta kutusu faaliyetleri için izleme ve saldırganların uyumlu olmayan cihazlardan veya güvenilmeyen IP adreslerinden çalıntı oturum çerezlerini kullanma girişimlerini engelleyecek koşullu erişim politikaları yer alıyor.
Redmond, "AITM kimlik avı MFA'yı atlatmaya çalışırken, MFA uygulamasının kimlik güvenliğinde önemli bir sütun olmaya devam etmesinin altını çizmek önemlidir."
"MFA hala çok çeşitli tehditleri durdurmada çok etkilidir; etkinliği, AITM kimlik avının ilk etapta ortaya çıkmasının neden olduğudur."
Bu kampanyaya bağlı ek teknik ayrıntılar ve uzlaşma göstergeleri Microsoft'un raporunun sonunda mevcuttur.
Microsoft, düzinelerce Azure Site Kurtarma ayrıcalığını düzeltiyor.
İnternetten Microsoft Office Dokümanlarındaki Makroları Otomatik Nasıl Blokır
Clever Kimlik Avı Yöntemi, Microsoft WebView2 uygulamalarını kullanarak MFA'yı atlar
Microsoft, Bohrium Hacker'ların mızrak aktı operasyonunu bozar
CISA, ajanslara saldırılarda kullanılan yeni Windows Zero-Day'i yamasını sipariş ediyor
Kaynak: Bleeping Computer