Giriş
Son dönemde suçlular tarafından geliştirilen yeni bir kötü amaçlı araç olan EvilTokens, Microsoft hesaplarını ele geçirerek iş e-posta sahtekarlığı (BEC) saldırılarına olanak tanımaktadır. Bu durum, siber güvenlik uzmanları için önemli bir uyarı niteliği taşımaktadır, çünkü bu tür saldırılar giderek yaygınlaşmakta ve daha karmaşık hale gelmektedir.
Saldırı Nasıl Çalışıyor?
EvilTokens, cihaz kodu phishing yetenekleri entegre eden bir kit olarak, OAuth 2.0 cihaz yetkilendirme akışını kötüye kullanmaktadır. Saldırı, mağduru kötü amaçlı bir cihazı yetkilendirmeye ikna ederek, onların hesaplarına erişim sağlamaktadır. Bu teknik, çeşitli tehdit aktörleri tarafından belgelenmiştir ve kapsamı giderek genişlemektedir.
- Rus grupları: Storm-237, UTA032, UTA0355, UNK_AcademicFlare, TA2723
- ShinyHunters veri sömürü grubu
Etkilenen Sistemler
Siber güvenlik araştırmacıları, Sekoia tarafından gerçekleştirilen çalışmalarda, mağdurların içeriğinde QR kodu veya bağlantı bulunan e-postalar aldıklarını gözlemlemiştir. Bu e-postalarda genellikle:
- Finansal belgeler
- Toplantı davetleri
- Lojistik veya satın alma emirleri
- Maaş bildirimleri
- DocuSign veya SharePoint gibi hizmetler üzerinden paylaşılan belgeler
Bu tuzaklar, finans, insan kaynakları, lojistik veya satış gibi departmanlardaki çalışanlara yönelik özelleştirilmiştir.
Mağdur bağlantıyı açtığında, güvenilir bir hizmeti taklit eden bir phishing sayfası ile karşılaşmaktadır. Bu sayfa, kimlik doğrulama sürecini tamamlamak için kullanıcının bir “Microsoft’a Devam Et” butonuna tıklamasını istemekte ve gerçek Microsoft cihaz giriş sayfasına yönlendirmektedir.
Çözüm ve Korunma
Saldırganlar, EvilTokens aracılığıyla hem kısa süreli erişim jetonu hem de sürekli erişim sağlayan yenileme jetonu elde etmektedir. Bu durum, saldırganlara mağdur hesaplarının bağlı olduğu hizmetlere, örneğin e-posta, dosyalar ve Microsoft Teams verilerine erişim vermektedir. Ayrıca, siber suçlular, BEC saldırıları için otomasyon imkanı sağlayan ileri düzey özellikler sunmaktadır.
Sekoia, EvilTokens PhaaS (Phishing-as-a-Service) kitini kullanarak gerçekleştirilen saldırılara dair uzaktan izleme için gösterge kayıtları (IoC), teknik ayrıntılar ve YARA kuralları sağlamaktadır.
Sonuç
Siber güvenlik tehditlerine karşı önlem almak için işletmelerin aşağıdaki adımları atması önemlidir:
- Microsoft uygulamalarını güncel tutun ve en son güvenlik yamalarını yükleyin.
- Yetkisiz kullanıcıların erişimlerini sınırlamak adına portları kapatın.
- Çalışanlara kimlik avı saldırılarına karşı farkındalık eğitimleri verin.
- Sekirlik işlemlerinize yönelik siber güvenlik protokollerini gözden geçirin ve güncelleyin.
Bu adımlar, EvilTokens ve benzeri tehditlere karşı korunmanın temel taşlarını oluşturmaktadır. Unutulmamalıdır ki, siber güvenlik sürekli bir çaba gerektirir ve her zaman dikkatli olunmalıdır.
