Avrupalı imalat şirketlerinin tam 20.000 çalışanı bir kimlik avı kampanyasının hedefi oldu.
Palo Alto Networks’ün Birim 42’sine göre, aktivite haziran ayında zirveye ulaştı ve en azından Eylül ayına kadar hayatta kaldı. Siber saldırganlar, başta İngiltere, Fransa ve Almanya gibi Batı Avrupa ülkelerindeki otomotiv, kimya ve endüstriyel bileşik imalat şirketlerini hedef aldı.
Saldırganların amacı, özellikle Microsoft hesaplarına erişim sağlamak için çalışanları Microsoft hesaplarındaki kimlik bilgilerini açıklamaya ikna etmekti. kurumsal Azure bulut ortamları.
DocuSign, HubSpot ve Outlook Kimlik Avı
Bulaşma zinciri ya gömülü bir HTML bağlantısıyla ya da hedeflenen şirketin adını taşıyan DocuSign özellikli bir PDF dosyasıyla (örneğin, darkreading.pdf) başladı. Her iki durumda da yem, kurbanları 17 kişiden birine yönlendiriyordu. HubSpot Ücretsiz Formları. Ücretsiz Formlar, HubSpot’un web sitesi ziyaretçilerinden bilgi toplamaya yönelik özelleştirilebilir çevrimiçi formlarıdır.
Formlar aslında mağdurlardan herhangi bir bilgi toplamak için kullanılmadı. Bunlar çıplaktı ve ana dili İngilizce olmayan biri tarafından açıkça yazılmıştı. “Senin mi [sic] İş E-postanıza gönderilen hassas Şirket Belgesini görüntüleme ve indirme yetkisi var mı?” diye sordular ve hassas olduğu iddia edilen belgeyi “Microsoft Güvenli Bulut”ta görüntülemek için bir düğme kullandılar.
Bu adıma kananlar, Microsoft Outlook Web App (OWA) oturum açma sayfasını taklit eden başka bir sayfaya yönlendirildiler. Sağlam, anonim, kurşun geçirmez sanal özel sunucularda (VPS) barındırılan bu sayfalar, hedeflerinin marka adlarını üst düzey alan adı (TLD) “.buzz” (www.darkreading.buzz’da olduğu gibi) ile birleştirdi. Kurbanların Microsoft kimlik bilgileri burada toplandı.
Çalınan hesapları elinde bulunduran tehdit aktörü, hedeflerin kurumsal bulut ortamlarına sızmaya başladı. Bu amaca yönelik bir sonraki önemli adım, kendi cihazlarını mağdurların hesaplarına kaydetmeyi içeriyordu. Bunu yapmak, daha sonra kimliği doğrulanmış bir kullanıcı olarak oturum açmalarına ve böylece güvenlik uyarılarının tetiklenmesini önlemelerine olanak tanıdı. Hedefleriyle aynı ülkede bulunan VPN proxy’leri aracılığıyla bağlanarak kılık değiştirmelerini daha da geliştirdiler.
Bir cihazın kaydedilmesi aynı zamanda saldırganı yerinden etmeye yönelik her türlü girişime karşı bir kalıcılık noktası da sağlıyordu. Örneğin Birim 42’nin gözlemlediği bir vakada, bir BT ekibi çalınan bir hesabın kontrolünü yeniden ele geçirmeye çalıştığı anda engellendi. Önyüklenebilir olduklarını gören saldırgan, bunu yapacak bağlantının kendisine gönderileceğini bilerek parola sıfırlama işlemini başlattı. Birim 42’nin bildirdiğine göre bir “çekişme senaryosu” ortaya çıktı ve sorun çözülene kadar birkaç güvenlik uyarısı daha tetiklendi.
Siber Saldırganlar Ufuklarını Buluta Genişletiyor
Bu kampanyada güvenliği ihlal edilen kullanıcıların ve kuruluşların hacmi bilinmiyor, ancak muhtemelen düşük. Birim 42’deki kıdemli tehdit araştırmacısı Nathaniel Quist’in belirttiği gibi, “bu işlem çifte ihlal olayına eşit olduğundan, kimlik avı e-postasının açılması gerektiğinden, Azure kimlik bilgilerinin başarılı bir şekilde istendiği ek bir işlemin de gerçekleşmesi gerekiyordu. Daha az sayıda kurban da bulut kimlik bilgilerini sağlamış olurdu. Örneğin, her kurban bulut işlemleri için Azure altyapısını da kullanmayacak.”
Daha açık olan ise ihlal edilen kuruluşlara ne olacağıdır. Saldırganlar, hesap kimlik bilgileri ve bir kalıcılık noktasıyla, “bulut kaynaklarını oluşturmak, değiştirmek veya silmek için daha ayrıcalıklı erişimler ekleyerek erişimlerini artırarak kendilerini kurumsal bulut ortamlarının daha derinlerine yerleştirmiş olacaklardı.” [identity and access management] Quist, “Bu politikalar, bulut ortamında kurban IAM hesabının erişim sahibi olabileceği depolama konteynerlerine doğru yanal olarak hareket etmiş olurlardı” diyor.
Quist, ilk bakışta oldukça standart bir kimlik avı operasyonu gibi görünse de, bunun aynı zamanda son dönemdeki siber saldırı eğilimleriyle ilgili daha geniş bir şeyi de yansıttığını söylüyor: daha geniş, daha iddialı bulut saldırılarına doğru kademeli bir ilerleme.
“Benim görüşüme göre, kurbanın sisteminde kötü amaçlı yazılım odaklı bir koruma noktası oluşturmayan, bunun yerine kullanıcının bulut platformlarına (bu durumda Azure gibi) erişim kimlik bilgilerini hedefleyen kimlik avı operasyonlarında giderek artan bir eğilim görmeye başlıyoruz. SaaS platformları” diyor. “Kurban uç noktası, bağlı olduğu daha büyük bulut platformuna yalnızca ilk erişimdir.”
