Giriş
Son dönemlerde, siber güvenlik alanında “phishing-as-a-service” (PhaaS) platformu “ARToken” dikkat çekmektedir. Bu platform, Microsoft 365 hesaplarını hedef alarak fidye saldırılarının yanı sıra veri hırsızlığına olanak tanımaktadır.
Saldırı Nasıl Çalışıyor?
ARToken, kötü niyetli kullanıcıların Microsoft 365 oturum açma belirteçlerini çalarak kalıcı erişim sağlamalarını mümkün kılan bir araçtır. Platformun bazı özellikleri şöyle özetlenebilir:
- Primary Refresh Token (PRT) kullanarak kalıcı erişim sağlama.
- Outlook, SharePoint ve OneDrive gibi Microsoft uygulamalarına erişim.
- Cloudflare Workers aracılığıyla phishing alt yapısı dağıtma.
- İşletme e-posta sahtekarlığını (BEC) otomatikleştirme yetenekleri.
CISCO Talos araştırmacıları, ARToken’ın CVE-XXXX-XXXX gibi belirli API çağrılarıyla Microsoft’un cihaz kodu kimlik doğrulama akışına benzerlikler taşıdığını bulmuşlardır.
Etkilenen Sistemler
ARToken platformu, özellikle aşağıdaki sistemleri hedef almaktadır:
- Microsoft 365 hesapları.
- Outlook elektronik posta kutuları.
- SharePoint siteleri ve OneDrive dosyaları.
Ayrıca, kullanıcıları Microsoft’un resmi giriş sayfasına yönlendirerek, kurbanların geçerli bir cihaz kodu girmelerini sağlamaktadır. Bu sayede, saldırganlar çok faktörlü kimlik doğrulama sistemini geçerek doğrudan yetki kazanmış olmaktadırlar.
Çözüm ve Korunma
Saldırıların önlenmesi için aşağıdaki adımlar önerilmektedir:
- Microsoft 365 güncellemelerini düzenli olarak uygulayın.
- Çok faktörlü kimlik doğrulamasını her koşulda etkinleştirin.
- Şüpheli e-postaları ve bağlantıları rapor edin.
- Gereksiz açık portları kapatın ve güvenlik duvarınızı güncel tutun.
Kurumsal kullanıcılar, ayrıca güvenlik ekipleriyle birlikte etkili bir e-posta güvenliği geliştirmelidir.
Sonuç
ARToken ve benzeri platformlardan korunmak için kurumların güncellemeleri zamanında yapması ve çok faktörlü kimlik doğrulaması gibi önlemleri alması kritik önem taşımaktadır. Kuruluşlar, sürekli eğitim ve farkındalık artırma çalışmaları ile çalışanlarını bu tür tehditlere karşı bilinçlendirmelidir.


