VENOM Phishing Saldırısı: Yönetici Hedef Alımı
Gelişmiş bir siber tehdit olan VENOM, mevcut olmayan bir phishing-as-a-service (PhaaS) platformu olarak, farklı sektörlerdeki üst düzey yöneticilerin kimlik bilgilerini hedef alıyor. Bu operasyon, özellikle CEO, CFO ve VP pozisyonlarındaki bireylere odaklanarak, güvenlik araştırmacılarının dikkatini azaltacak şekilde gizli bir şekilde yürütülmektedir.
Saldırı Nasıl Çalışıyor?
VENOM saldırı zinciri, araştırmacılar tarafından tespit edilen phishing e-postaları ile başlar. Bu e-postalar, Microsoft SharePoint belge paylaşım bildirimleri gibi görünerek, kurumsal iletişim imajı yaratır. E-posta içerikleri şu şekilde özelleştirilmiştir:
- Yüksek derecede kişiselleştirilmiş e-postalar.
- Sahte CSS sınıfları ve yorumlar içeren rastgele HTML gürültüsü.
- Hedefe uygun sahte e-posta dizileri.
Kurbanların tarayabileceği bir QR kodu, tarayıcı araçlarını aşmak ve saldırıyı mobil cihazlara kaydırmak için hazırlanmıştır. Kurban QR kodunu taradığında, onları phishing platformuna yönlendiren bir ara sayfaya yönlendirilir. Bu sayfa, yalnızca gerçek hedeflerin yönlendirilmesini sağlamak amacıyla güvenlik araştırmacılarına ve sanal sandık ortamlarına karşı bir filtre işlevi görür.
Etkilenen Sistemler
VENOM, kurbanın Microsoft oturum açma akışını gerçek zamanlı olarak proxyleyerek kimlik bilgilerini toplar ve multi-factor authentication (MFA) kodlarını Microsoft API’lerine iletir. Saldırının iki ana yöntemi bulunmaktadır:
- Adversary-in-the-Middle (AiTM) Yöntemi: Bu yöntemde, saldırgan kurbanın hesabında yeni bir cihaz kaydı yapar.
- Device Code Yöntemi: Bu saldırıda kurban, sahte bir cihaza erişim izni vermeye ikna edilir.
Bu iki yöntem sayesinde VENOM, kimlik doğrulama sürecinde kalıcı erişim sağlar. Araştırmacılar, MFA’nın bu saldırılara karşı yeterli bir savunma aracı olmadığını vurgulamaktadır.
Çözüm ve Korunma
Üst düzey yöneticilerin bu tür saldırılara karşı etkili bir şekilde korunmak için atması gereken adımlar şunlardır:
- FIDO2 kimlik doğrulaması kullanarak daha güvenli bir çözüm elde edin.
- Device code flow‘u gereksiz olduğunda devre dışı bırakın.
- Token kötüye kullanımını engellemek için daha katı şartlı erişim politikaları uygulayın.
Güvenlik açıklarını kapatmak için en son güncellemelerin uygulanması ve gereksiz portların kapatılması da hayati önem taşımaktadır.
Unutmayın, sistemlerinizin güvenliğini sağlamak için sürekli gözlem ve güncelleme gereklidir.
