A kimlik avı kampanyası Çok Faktörlü Kimlik Doğrulamayı (MFA) atlamak ve kullanıcı hesaplarını devralmak için Microsoft Active Directory Federasyon Hizmetleri’ni (ADFS) sömürüyor ve tehdit aktörlerinin hizmete bağlı ağlar arasında daha fazla kötü amaçlı faaliyetlerde bulunmasına izin veriyor. Tek Oturum Açma (SSO) Kimlik Doğrulaması.
Anormal güvenlikten araştırmacılar Kampanyayı keşfettiyaklaşık 150 kuruluşu hedefleyen – öncelikle eğitim sektöründe -Bu, birden fazla şirket ve bulut tabanlı sistemlerde kimlik doğrulaması yapmak için ADF’lere güvenir.
Kampanya, insanları hedef tarafından kullanılan belirli MFA kurulumu için kişiselleştirilen Microsoft ADFS giriş sayfalarına yönlendiren sahte e-postalar kullanıyor. Bir kurban kimlik bilgileri ve bir MFA kodu girdiğinde, saldırganlar hesapları devralır ve SSO işlevi aracılığıyla diğer hizmetlere dönebilir. Keşif, iletişimi engellemek için posta filtresi kurallarının oluşturulması ve organizasyondaki diğer kullanıcıları hedefleyen yanal kimlik avı gibi bir dizi kontratür sonrası faaliyet gerçekleştiriyor gibi görünüyorlar.
Güvenlik firması Saviyt’in baş güven sorumlusu Jim Routh, “kurumsal kullanıcılar için uygun” bir işlev olan ADFS’de eski SSO yeteneğini hedeflemek büyük temettüler elde edebilir. Özellik başlangıçta bir güvenlik duvarının arkasında kullanılmak üzere tasarlandı, ancak artık daha fazla maruz kalıyor çünkü bulut tabanlı hizmetler arasında giderek daha fazla uygulandı, ancak bunun için tasarlanmamış olsa da.
Kampanyadaki saldırganlar, Microsoft ADFS giriş sayfalarını kullanıcı kimlik bilgilerini hasat etmek ve MFA’yı uzun zamandır bir güvenlik uzmanının daha önce görmediğini söylediği bir şekilde atlıyor.
Güvenlik firması Knowbe4’teki veri odaklı savunma evangelisti Roger Grimes, “Bu, sahte ADFS giriş sayfaları hakkında ilk kez okudum.”
Kimlik Hırsızlığı için Yardım Masası Lures
Kampanyanın hedefleri, kuruluşun IT’sinden bildirim olarak görünmek üzere tasarlanmış e -postalar alır Yardım Masası – Yaygın olarak kullanılan bir kimlik avı hilesi – alıcıya hemen dikkatlerini gerektiren acil veya önemli bir güncellemeyi bilgilendiren bir mesajla. Mesaj, revize edilmiş bir politikayı kabul etmek veya bir sistem yükseltmesini tamamlamak gibi istenen eylemi başlatmak için sağlanan bağlantıyı kullanmalarını ister.
Yine de, e -postalar, güvenilir varlıklardan kaynaklanıyormuş gibi görünen sahte gönderen adresleri, meşru markalaşmayı taklit eden hileli giriş sayfaları ve meşru ADFS bağlantılarının yapısını taklit eden kötü niyetli bağlantılar da dahil olmak üzere, ikna edici görünmesini sağlayan çeşitli özellikler içeriyor. .
Rapora göre, “Bu kampanyada, saldırganlar, kullanıcıları kimlik bilgilerini ve ikinci faktör kimlik doğrulama ayrıntılarını göndermek için kandırmak için ADFS oturum açma sayfalarının güvenilir ortamı ve tanıdık tasarımını kullanıyor.”
Eski Kullanıcıları Hedefleme
Araştırmacılar, kampanya çeşitli endüstrileri hedef alırken, saldırıların yükünü taşıyan kuruluşların okullar, üniversiteler ve diğer eğitim kurumları olduğunu söyledi. Rapora göre, “Bu, saldırganların yüksek kullanıcı hacimleri, eski sistemleri, daha az güvenlik personeli ve genellikle daha az olgun siber güvenlik savunmasına sahip ortamlar tercihini vurgulamaktadır.”
Kampanyada da bu tercihi yansıtan diğer sektörler, saldırı sıklığı sırasına göre: sağlık, hükümet, teknoloji, ulaşım, otomotiv ve üretim.
Gerçekten de, Microsoft ve Anormal Güvenlik, kuruluşların modern kimlik platformuna geçişini önerirken, Entrakimlik doğrulama için, daha az sofistike BT departmanına sahip birçok kuruluş hala ADF’lere bağlıdır ve bu nedenle savunmasız kalaraştırmacılar kaydetti.
Rapora göre, “Bu güven, daha yavaş teknoloji benimseme döngüleri veya eski altyapı bağımlılıkları olan sektörlerde özellikle yaygındır – bu onları kimlik bilgisi hasat ve hesap devralmaları için birincil hedefler haline getirir.”
Ancak, bir kuruluş hala ADF’leri kullansa bile, hala kendilerini korumak için adımlar atabilir, diyor Grimes. Tüm kullanıcıların kullanmasını önerir “Kimlik avına dirençli MFA“Örneğin ne zaman yapabiliyorlar.
Araştırmacılar tarafından önerilen diğer hafifletmeler arasında modern saldırgan kimlik avı teknikleri ve psikolojik taktikler hakkında kullanıcı eğitimi ve kimlik avı saldırılarını tanımlamak ve azaltmak ve uzlaşmış hesapları erken tespit etmek için ileri e -posta filtreleme, anomali tespiti ve davranış izleme teknolojilerinin kullanılması yer almaktadır.
