Dolandırıcılar, sahte sesli posta ve sahte Microsoft oturum açma sayfaları kullanan ayrıntılı bir kimlik avı kampanyasıyla ABD ordusunda, güvenlik yazılımında, üretim tedarik zincirinde, sağlık ve ilaç şirketlerinde çalışan kişilerden Microsoft 365 oturum açma kimlik bilgilerini çalmaya çalışıyor.
Bu firmalardaki çalışanlar, kuruluşlarından birinin kendilerine sesli mesaj gönderdiğini söyleyen sahte e-posta bildirimleri alıyor.
E-postanın kendisi şirketin içinden geliyormuş gibi görünüyor, ancak bulut güvenlik şirketi ZScaler, gerçek göndericinin adresini ve gerçek kimliğini gizlemek için bir Japon e-posta hizmetini kötüye kullandığını tespit etti. (yeni sekmede açılır).
Kurban yemi alır ve e-postadaki HTML ekini tıklarsa, önce iki yönlü bir CAPTCHA kontrolüne yönlendirilir – kimlik avı önleme araçlarından kaçınmak ve kurbanı meşruiyetine ikna etmek.
kimlik bilgilerini çalmak
Kurban captcha’yı geçtiğinde, daha sonra yeniden yönlendirilirler. (yeni sekmede açılır) gerçek kimlik avı sitesine, Microsoft 365 oturum açma sayfasıyla aynı görünen bir açılış sayfası. Kurbanlar kimlik bilgilerini girerlerse saldırganlarla paylaşacakları yer orası.
Microsoft 365 hesapları, yıkıcı ikinci aşama saldırılarına yol açabilecek değerli bilgilerden oluşan bir hazine sundukları için dolandırıcılar arasında yüksek talep görmektedir. Crooks, kötü amaçlı yazılım dağıtmak için kullanabilir (yeni sekmede açılır) ve fidye yazılımları, bilgi işlem gücü yüksek sunuculara kripto madencileri kurun ve hatta son derece yıkıcı tedarik zinciri saldırıları gerçekleştirin.
ABD devlet kurumlarının, kurumlarının ve bir dizi yüksek profilli teknoloji şirketinin hedef aldığı Solar Winds tedarik zinciri saldırısının tümü, güvenliği ihlal edilmiş bir Microsoft 365 hesabıyla başladı.
Aralık 2020’de, SolarWinds yazılımına yapılan hileli bir güncelleme yoluyla yazılım tedarik zincirini bozan devasa bir siber casusluk çalışması keşfedildi. Devlet destekli Rus bilgisayar korsanlarına iğnelenen saldırının, birçok özel sektör şirketinin yanı sıra dokuz federal kurumu da etkilediği tespit edildi.
SolarWinds hack’iyle ilgili birkaç kongre oturumu yapıldı ve olay aynı zamanda birkaç Rus siber güvenlik şirketine yaptırımlara yol açtı. Ancak, kısmen tehdit aktörlerinin adımlarını takip etmek oldukça zor olduğu için, hiç kimse saldırının gerçek boyutunu belirleyemedi.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)