Perşembe günü yayınlanan bir raporda, Microsoft, bankacılık ve finans kuruluşlarının yeni bir kimlik avı saldırısının hedefi olduğunu açıkladı. ve çok aşamalı iş e-postası uzlaşması (BEC), yani ortadaki düşman (AitM) olarak bilinen saldırı.
Teknoloji devi, saldırının güvenilir bir sağlayıcının güvenliğinin ihlal edilmesinden kaynaklandığını belirtti ve Bu durum, bir dizi AitM saldırısı ve BEC faaliyetine dönüştü. Bu durum birçok kuruluşu etkiledi.
Microsoft, bankacılık kurumlarına yönelik güçlü bir saldırı tespit etti.
Microsoft, Bu grup, Storm-1167 adı altında yakından takip ediliyor.Grubun saldırıyı gerçekleştirmek için dolaylı bir aracı kullandığını vurguladı.
Bu durum saldırganlara olanak sağladı. Kimlik avı sayfalarını hedeflerinize esnek bir şekilde uyarlayın ve oturum çerezlerinin çalınmasını gerçekleştirin.Bu durum, AitM saldırılarının giderek daha karmaşık hale geldiğini vurgulamaktadır.
Bu saldırının işleyiş biçimi, diğer AitM (Hedef Kitle İnşaası) kampanyalarından farklıdır. Burada yanıltıcı sayfalar, kimlik bilgilerini ve şifreleri toplamak için ters proxy görevi görür. Mağdurlar tarafından girilen zamana bağlı tek seferlik girişler (TOTP'ler).
Saldırgan, geleneksel kimlik avı saldırılarında olduğu gibi, hedef uygulamaya ait giriş sayfasını taklit eden ve bulut hizmetinde barındırılan bir web sitesini hedeflere sundu.
Microsoft
"Giriş sayfası, saldırgan tarafından kontrol edilen bir sunucudan yüklenen kaynaklar içeriyordu, Bu işlem, uygulamanın kimlik doğrulama sağlayıcısıyla bir kimlik doğrulama oturumu başlattı. Microsoft ayrıca, "kurbanın kimlik bilgilerini kullanarak hedefleme" yapıldığını da ekledi.
Saldırı zinciri, kimlik avı amaçlı bir e-posta ile başlar. Kurbanı sahte bir Microsoft giriş sayfasına yönlendirir.Burada sizden kimlik bilgilerinizi ve TOTP şifrelerinizi girmeniz istenecektir.
Toplanan şifreler ve oturum çerezleri, kullanıcı kimliğine bürünmek ve tekrar oynatma saldırısı yoluyla e-posta gelen kutusuna yetkisiz erişim sağlamak için kullanılır. Ardından, Bu erişim, hassas e-postaları elde etmek ve bir BEC saldırısı gerçekleştirmek için kullanılır..
Buna ek olarak, Kısa mesajlara dayalı yeni bir iki faktörlü kimlik doğrulama yöntemi eklendi. Hedef hesaba, dikkat çekmeden çalınan kimlik bilgilerini kullanarak giriş yapmak.
16,000 e-postadan oluşan devasa bir saldırı
Microsoft tarafından analiz edilen olayda, saldırganın büyük çaplı bir spam kampanyası başlattığı bildiriliyor. Ele geçirilen kullanıcının rehberine 16,000'den fazla e-posta gönderildi.Hem kuruluş içinde hem de dışında, ayrıca dağıtım listelerine de.
Ayrıca düşmanın da harekete geçtiği gözlemlendi. Gelen e-postalara yanıt verirken tespit edilme olasılığını en aza indirgemek ve kalıcılığı sağlamak için alınacak önlemler ve ardından bunları posta kutusundan kaldırmak için gerekli adımları atın.
Sonuç olarak, alıcılar Kimlik bilgilerinizi çalmak için kullanılan ikinci bir AitM saldırısının hedefi, kimlik avı e-postalarıdır. ve AitM saldırısı sonucunda hesabı ele geçirilen kullanıcılardan birinin e-posta kutusundan başka bir kimlik avı kampanyasını tetikleyebilir.
"Bu saldırı şunu gösteriyor ki..." Tedarikçiler arasındaki güven ilişkilerini kötüye kullanan AitM ve BEC tehditlerinin karmaşıklığıŞirket ayrıca, "Finansal dolandırıcılık yapmayı amaçlayan hizmet sağlayıcılar ve diğer ilgili kuruluşlar" ifadesini de ekledi.
Bu keşif, olaydan yaklaşık bir ay sonra gerçekleşti. Microsoft, BEC saldırılarında artış konusunda uyarıda bulundu. ve siber suçluların kullandığı, BulletProftLink gibi platformların büyük ölçekli kötü amaçlı e-posta kampanyaları oluşturmak için kullanılması da dahil olmak üzere, gelişen taktikler.
Başka bir taktik Bu, konut internet protokolü (IP) adreslerinin kullanımını içerir. Teknoloji devi, bu sayede saldırı kampanyalarının yerel olarak oluşturulmuş gibi görünmesinin sağlanacağını açıkladı.
BEC tehdit aktörleri, kurbanın konumuna uyan konut IP hizmetlerinden IP adresleri satın alarak, siber suçluların kökenlerini gizlemelerine olanak tanıyan konut IP proxy'leri oluştururlar.
Redmond.
Yoruma kapalı.