Son Dönemdeki Tehditler: Microsoft 365 Phishing Operasyonları
Son dönemde, bir saldırganın canlı Microsoft 365 phishing (oltalama) operasyonu yürüttüğü ve kamuya açık bir porta dinleme yapan bir Python web sunucusu bıraktığı tespit edilmiştir. Bu durum, siber güvenlik alanında önemli bir tehdidin habercisidir, çünkü saldırganlar basit hatalarla büyük veri hırsızlıklarına kapı aralamaktadır.
Saldırı Nasıl Çalışıyor?
Saldırı, basit bir komutla başlıyor: python3 -m http.server 8080 komutu, .bash_history dosyasında açık bir şekilde görünüyordu. Fransız güvenlik firması Lexfo, bu hatadan faydalanarak saldırganın tüm araç setine ulaşarak başka iki phishing operatörüne geçiş yaptı. Toplamda üç değişik kampanya yürütülmekteydi ve her biri, açık kaynak Evilginx proxy’inin özelleştirilmiş bir çatalını kullanıyordu.
Bu üç saldırı, Multi-Factor Authentication (MFA) sistemini iki farklı yöntemle atlattı: biri canlı giriş işlemini proxy’leyerek, diğeri ise geçerli bir Microsoft giriş akışını kötüye kullanarak. Bu farklılıklar, Microsoft 365 kullanıcıları için önemlidir çünkü her birinin farklı savunmaları gerekmektedir.
Etkilenen Sistemler
Saldırının arka planında, Evilginx tabanlı bir “katil içerisinde” proxy sistemi ve SimpleHelp uzaktan kontrol aracı çalışmaktaydı. Budapest’deki 185.163.204[.]7 IP adresi üzerinde barındırılan bu sistemler, saldırganın oldukça detaylı bir yapı oluşturduğunu göstermektedir.
Dizin listeleme işlemi, saldırının nasıl yapıldığını tam olarak açığa çıkardı. Bu listeleme, phishing yapılandırmaları, kimlik bilgisi toplama logları ve uzaktan yönetim araçları gibi kritik bilgilere erişim sağladığı için neredeyse tam bir itiraf niteliğindeydi.
Saldırgan, codemado adı altında tanınan bir Mısır aktörü olarak biliniyor. 2018’den beri VoIP ve hacking forumlarında aktif olan bu birey, Microsoft 365 için AiTM platformu işletmekte ve kendi geliştirdiği MaDoO Blaster adında bir toplu e-posta gönderici aracılığıyla gelir elde etmektedir.
Çözüm ve Korunma
Bu tür saldırılara karşı etkili önlemler almak için bir dizi strateji izlemek gerekmektedir:
- Phishing-resistant MFA ve FIDO2 anahtarları kullanarak Evilginx tarafını kapatabilirsiniz. Bu, oturum açma işlemini gerçek alan adına bağlayacaktır.
- Device code kullanımını engellemek için Conditional Access politikalarını uygulayın.
- Microsoft’un önerileri doğrultusunda, device code akışını mümkün olduğunca engelleyin.
- Oturum açma loglarınızı kullanarak alışılmadık IP adreslerinden gelen farklı istemci kimliklerini izleyin.
Bunlar gibi önlemler alabilmek için, oturum açma işleminin Original transfer method alanına bakarak tüm işlemleri ayrıntılı bir şekilde takip etmek önemlidir.
Sonuç
Siber güvenlik, sürekli evrilen bir alandır ve bu tür saldırıları önlemek için güncellemeleri ve güvenlik politikalarını gözden geçirmeniz gerekmektedir. Sisteminizi güncel tutmak, doğru kimlik doğrulama yöntemlerini kullanmak ve sürekli güvenlik denetimleri yapmak bu tür tehditlerin önüne geçmenin en etkili yollarıdır. Güvenlik önlemleri almadan önce, potansiyel zayıf noktaları belirlemek için bir saldırı simülasyonu gerçekleştirilmesi önerilmektedir.


