Giriş
Son dönemlerde, Storm-2755 adıyla bilinen mali motive bir siber tehdit aktörü, Kanadalı çalışanların maaş ödemelerini hedef alarak hesaplarını ele geçiriyor. Bu tür saldırılar, hem bireysel kullanıcıları hem de işletmeleri büyük maddi kayıplara uğratabilmektedir.
Saldırı Nasıl Çalışıyor?
Storm-2755, sahte Microsoft 365 giriş sayfalarını kullanarak hedeflerinin kimlik bilgilerini çalmaktadır. Saldırganlar, kurbanları zararlı içeriğe sahip web sayfalarına yönlendiren alan adlarını (örneğin, bluegraintours[.]com) kullanarak, kimlik doğrulama belirteçlerini ve oturum çerezlerini ele geçiriyor. Bu süreç, aşağıdaki aşamalardan oluşmaktadır:
- Phishing yoluyla kullanıcı kimlik bilgilerini toplama.
- Oturum çerezlerini yeniden kullanarak çok faktörlü kimlik doğrulamasını (MFA) atlama.
- Hedef kullanıcının e-posta içeriğini gizleyen kurallar oluşturma.
Microsoft’a göre, bu saldırı yöntemi adversary-in-the-middle (AiTM) saldırıları olarak tanımlanmaktadır. Saldırganlar, hedeflerin kimlik bilgilerini değil, başarılı kimlik doğrulaması sonrası oluşturulan oturum çerezlerini ve OAuth erişim belirteçlerini yakalamaktadır.
Etkilenen Sistemler
Storm-2755’in saldırıları, özellikle Microsoft hizmetlerini ve HR yazılımlarını (örneğin, Workday) hedef almaktadır. Bu tür saldırılar, iş e-posta hesaplarına erişim sağladıktan sonra, şunları gerçekleştirmektedir:
- HR departmanından gelen “doğrudan depo” ve “banka” anahtar kelimelerini içeren e-postaları gizli klasörlere taşıma.
- Yeniden kimlik doğrulama gerektirmeden bankacılık bilgilerini güncelleme girişimleri.
- Çalışanların banka bilgilerini güncellemelerini sağlamak amacıyla sosyal mühendislik teknikleri kullanma.
Çözüm ve Korunma
Microsoft, bu tür saldırılara karşı savunmaların güçlendirilmesi için şunları önermektedir:
- Legacy kimlik doğrulama protokollerini engelleyin.
- Yanıt vermeyen MFA çözümlerini uygulayın.
- Herhangi bir tehlike belirtisi fark edilirse, kompromize olmuş belirteçleri ve oturumları derhal iptal edin.
- Kötü amaçlı gelen kutusu kurallarını kaldırın ve tüm etkilenen hesaplar için MFA yöntemlerini ve kimlik bilgilerini sıfırlayın.
Ayrıca, daha önce Storm-2657 olarak adlandırılan başka bir siber suç grubunun, benzer yöntemlerle saldırılar gerçekleştirdiği ve hedef alınan diğer kuruluşların hesaplarını ele geçirdiği bilinmektedir.
Sonuç
Kullanıcıların ve işletmelerin, bu tür saldırılara karşı tedbir almaları hayati önem taşımaktadır. Derhal güncellemeler yapın, eski kimlik doğrulama yöntemlerini devre dışı bırakın ve güvenlik protokollerini gözden geçirerek güçlendirin. Güvenlik önlemlerini artırmak, mali kayıpları önleyebilir ve siber saldırılara karşı korunmanıza yardımcı olabilir.
