Yüksek hacimli bir kimlik bilgisi toplama kampanyası, güvenli e-posta ağ geçidi (SEG) korumalarından kaçınmak için tasarlanmış önemli sayıda kimlik avı e-postasını patlatmak için SuperMailer adlı yasal bir e-posta bülten programı kullanıyor.
Cofense’nin 23 Mayıs tarihli bir raporuna göre, kampanya o kadar çığ gibi büyüdü ki, SuperMailer tarafından oluşturulan e-postalar, şimdiye kadar Mayıs ayında şirketin telemetrisindeki tüm kimlik bilgisi kimlik avlarının önemli bir %5’ini oluşturuyor. Tehdit katlanarak büyüyor gibi görünüyor: Genel olarak etkinliğin aylık hacmi, son dört ayın üçünde iki kattan fazla arttı – bu, genel olarak kimlik bilgileri kimlik avının büyüdüğü bir manzarada bile kayda değer.
Cofense’de siber tehdit istihbaratı analisti ve araştırmanın yazarı Brad Haas, “SuperMailer’ın özelleştirme özelliklerini ve gönderme yeteneklerini kaçırma taktikleriyle birleştiren kampanyanın arkasındaki tehdit aktörleri, her sektöre yayılan gelen kutularına özel, yasal görünümlü e-postalar teslim etti.”
Ve aslında, Cofense raporları faaliyetin arkasındaki tehdit aktörlerinin inşaat, tüketim malları, enerji, finansal hizmetler, gıda hizmeti, devlet, sağlık, bilgi ve analitik, sigorta, imalat gibi çeşitli sektörlerdeki kurbanları çekmeyi umarak geniş bir ağ oluşturduğunu , medya, madencilik, profesyonel hizmetler, perakende satış, teknoloji, ulaşım ve kamu hizmetleri.
SuperMailer ile Süper Boyutlu Kimlik Avı
Hass, Dark Reading’e, rakamları daha da ilginç kılan şey, SuperMailer’ın ExpertSender veya SendGrid gibi daha iyi bilinen e-posta oluşturucuların ölçeğine yakın hiçbir yere yakın olmayan, biraz belirsiz bir Alman merkezli haber bülteni ürünü olduğu gerçeğidir, diyor Hass, Dark Reading’e – yine de geniş çapta gerisinde kötü amaçlı e-posta yığınları.
“SuperMailer, geliştiriciyle tamamen ilişkisiz olabilecek bir dizi siteden ücretsiz olarak veya nominal bir ücret karşılığında indirilebilen bir masaüstü yazılımıdır” diyor. “2019’da CNET’te SuperMailer’ın ücretsiz bir sürümü yayınlandı ve o zamandan beri yaklaşık 1.700 kez indirildi. Bu sayı, birçok popüler yazılım indirmesiyle karşılaştırıldığında düşük, ancak yasal kurumsal kullanıcıların sayısı hakkında başka bilgimiz yok. .”
SuperMailer, Dark Reading’in yorum talebine hemen yanıt vermedi. Ancak istemciler üçüncü taraf web siteleri aracılığıyla yayıldığından ve hiçbir sunucu veya bulut bileşenine sahip olmadığından, Haas, iş etkinliğin kökünü kazımaya geldiğinde SuperMailer’ın mecazi ellerinin bağlı olduğuna dikkat çekiyor.
“Geçmişte, kimlik avı e-postaları göndermek veya kimlik avı sayfalarına işaret eden benzersiz URL yönlendirmeleri oluşturmak için kötüye kullanılan büyük, bulut tabanlı hizmetler gördük, ancak bu hizmetler genellikle bir süre sonra etkinliği yakalar ve mücadele eder” diyor. “SuperMailer geliştiricisinin bu kötüye kullanımla ne ölçüde mücadele edebileceğini bilmiyoruz.”
Bu bile başlı başına SuperMailer’ı siber suçlular için çekici kılıyor. Ancak diğer neden, bazı benzersiz özellikler sayesinde SEG’leri ve nihayetinde son kullanıcıları geçmek için çekici bir kılık değiştirme sunmasıdır.
E-posta Güvenliğinden Kolaylıkla Kurtulmak
Haas, “Bu, meşru amaçlar için tasarlanmış araçları kötüye kullanan tehdit aktörlerinin başka bir örneğidir.” diyerek, yasal kullanıcıların yararlı bulduğu özelliklerin dolandırıcıların da ilgisini çekeceğini sözlerine ekledi. “Bu, açık kaynak sızma testi araçlarının gerçek tehdit faaliyeti yürütmek için tehdit aktörleri tarafından düzenli olarak kötüye kullanıldığı sızma testi alanında zaten oluyor” diyor.
Bu durumda SuperMailer, çeşitli e-posta sistemleriyle uyumluluk sunarak tehdit aktörlerinin gönderme işlemlerini birden çok hizmete yaymasına olanak tanır — bu, bir SEG veya yukarı akış e-posta sunucusunun e-postaları itibar nedeniyle istenmeyen olarak sınıflandırması riskini azaltır.
Haas, tehditle ilgili raporunda, “Tehdit aktörleri büyük olasılıkla güvenliği ihlal edilmiş çeşitli hesaplara erişebilirler ve bunlar arasında geçiş yapmak için SuperMailer’ın gönderme özelliklerini kullanırlar.”
SuperMailer tarafından oluşturulan kampanyalar, bir alıcının adını, e-postasını, kuruluş adını, e-posta yanıt zincirlerini ve daha fazlasını otomatik olarak doldurma yeteneği gibi şablon özelleştirme özelliklerinden de yararlanır; bunların tümü, e-postanın hedefler için meşruiyetini artırır.
Yazılım ayrıca, parametre olarak dahil edilen herhangi bir URL’ye otomatik olarak yeniden yönlendiren meşru Web sayfaları olan açık yönlendirmeleri de işaretlemez. Bu, kötü aktörlerin tamamen meşru URL’leri birinci aşama kimlik avı bağlantıları olarak kullanmasına olanak tanır.
Haas raporda, “Bir SEG yönlendirmeyi takip etmezse, yalnızca meşru web sitesinin içeriğini veya itibarını kontrol edecektir.” Dedi. “Açık yönlendirmeler genellikle bir zayıflık olarak görülse de, genellikle yüksek profilli sitelerde bile bulunabilirler. Örneğin, analiz ettiğimiz kampanyalar YouTube’da açık yönlendirme kullandı.”
SuperMailer Tehditine Karşı Savunma
Cofense, saldırganların e-posta şablonlarını hazırlarken yaptıkları bir kodlama hatası sayesinde SuperMailer etkinliğini takip edebildi: E-postaların tümü, bunların SuperMailer tarafından üretildiğini gösteren benzersiz bir dizi içeriyordu. Ancak, iletileri bu dize için ayrıştırmak veya daha genel olarak tüm yasal posta hizmetlerini engellemek çözüm değildir.
Haas, “SuperMailer tarafından oluşturulan e-postaları geniş çapta engellememize izin verecek herhangi bir varsayılan özelliği henüz ortaya çıkarmadık” diyor. “Bu durumda, tanımlanabilir özellikler yalnızca tehdit aktörünün yaptığı bir hata nedeniyle keşfedilebilirdi. Hata olmadan bu mümkün olmazdı çünkü bu özellikler her SuperMailer e-postasında görülemez.”
Bununla birlikte, içerikleri de dahil olmak üzere, kökenlerini bilmeden bile e-postaları potansiyel güvenlik tehditleri olarak tanımlayabilecek başka özellikler olduğunu belirtiyor. Bir örnek, mesajlara eklenen, hedefe özel olmayan e-posta yanıt zincirleri olabilir.
Cofense, SuperMailer kimlik avlarının Mayıs ayında Cofense telemetrisinde gelen kutularına inen kimlik avı e-postalarının %14’ünü oluşturan daha geniş bir etkinlik kümesinin parçası olduğunu keşfettiği için bu özellikle önemlidir. Haas, tüm e-postaların – SuperMailer tarafından gönderilen ve diğerleri – URL rasgele kullanımı gibi hepsini birbirine bağlayan belirli göstergeleri paylaştığını açıkladı.
Haas, “İnsan sezgisi genellikle bu farklılıkları tanımada çok daha iyidir, bu nedenle çalışanları kimlik avı tehditlerine karşı uyanık olmaları konusunda eğitmek, iyi bir siber savunmanın kritik bir unsurudur” diyor.