Dünya çapındaki “düzinelerce” kuruluş, geniş kapsamlı bir iş e-posta uzlaşmasının parçası olarak hedef alındı (BEC) saldırıları gerçekleştirmek için ortadaki düşman (AitM) tekniklerinin kullanımını içeren kampanya.
Sygnia araştırmacıları, “Başarılı bir kimlik avı girişiminin ardından, tehdit aktörü kurban çalışanlardan birinin hesabına ilk erişimi elde etti ve Office365 kimlik doğrulamasını atlamak ve bu hesaba kalıcı erişim elde etmek için bir ‘ortadaki düşman’ saldırısı gerçekleştirdi.” söz konusu The Hacker News ile paylaşılan bir raporda.
“İstikrar kazandıktan sonra, tehdit aktörü güvenliği ihlal edilmiş hesaptan veri sızdırdı ve erişimini diğer kurbanın çalışanlarına ve birkaç harici hedeflenen kuruluşa yönelik kimlik avı saldırılarını yaymak için kullandı.”
Bulgular, Microsoft’un bankacılık ve finansal hizmet kuruluşlarına yönelik benzer bir AitM kimlik avı ve BEC saldırısı kombinasyonunu ayrıntılı olarak açıklamasının ardından bir haftadan kısa bir süre sonra geldi.
BEC dolandırıcılığı tipik olarak gerektirir para göndermesi veya gizli şirket bilgilerini ifşa etmesi için bir hedefi e-posta yoluyla kandırmak. Saldırgan, e-postaları amaçlanan kurbana göre kişiselleştirmenin yanı sıra, hedeflerine ulaşmak için güvenilir bir kişinin kimliğine bürünebilir.
Bu da, dolandırıcının şirketin müşterilerine veya tedarikçilerine sahte bir banka hesabına ödeme talep eden sahte faturaları e-posta ile göndermesinin ardından ayrıntılı bir sosyal mühendislik planı yoluyla hesabın kontrolünü ele geçirerek elde edilebilir.
Sygnia tarafından belgelenen saldırı zincirinde, saldırganın, sonunda kurbanı girilen kimlik bilgilerini ve tek seferlik parolaları toplamak için tasarlanmış bir AitM kimlik avı sayfasına yönlendiren sözde bir “paylaşılan belgeye” bağlantı içeren bir kimlik avı e-postası gönderdiği gözlemlendi.
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
Dahası, tehdit aktörlerinin, Avustralya’da bulunan farklı bir IP adresinden kalıcı bir uzak dayanak elde etmek için yeni bir çok faktörlü kimlik doğrulama (MFA) cihazı kaydettirmek için güvenliği ihlal edilmiş hesaba geçici erişimi kötüye kullandığı söyleniyor.
Sygnia araştırmacıları, “Hassas verilerin kurbanın hesabından sızmasına ek olarak, tehdit aktörü bu erişimi, müşterinin düzinelerce çalışanına ve ek hedeflenen kuruluşlara yeni kötü niyetli bağlantıyı içeren yeni kimlik avı e-postaları göndermek için kullandı.”
İsrail siber güvenlik şirketi ayrıca, kimlik avı e-postalarının bir hedef firmadan diğerine ve aynı şirketteki çalışanlar arasında “solucan benzeri bir şekilde” yayıldığını söyledi. Kampanyanın tam ölçeği şu anda bilinmiyor.