Bilgisayar korsanlarının, kurumsal e-postaları ve diğer hassas verileri çalmak amacıyla Azure AD için Microsoft İş Ortağı Ağı özelliğini kötüye kullandığı tespit edildi. (yeni sekmede açılır).
Microsoft ve siber güvenlik uzmanları Proofpoint birlikte çalıştı (yeni sekmede açılır) meşru şirketler gibi davranan bilgisayar korsanlarını nasıl keşfettiklerini ve Microsoft Bulut İş Ortağı Programı’nda (MCPP) başarıyla doğrulandıklarını açıklayarak tehditlerle mücadele etmek.
Meşru bir işletme olarak onaylanmak, dolandırıcıların gerçekte kötü amaçlı olan ve kimlik avı yoluyla insanların e-postalarını çalmak için kullanılan doğrulanmış OAuth uygulamalarını Azure AD’ye kaydetmesine olanak sağladı. Proofpoint, işleri daha da kötüleştirmek için, dolandırıcıların bu erişimi takvim bilgilerini çalmak için de kullanmış olabileceğini söyledi.
BEC saldırıları çalıştırma
Bu tür bilgiler siber casusluk, iş e-postası ele geçirme saldırıları veya daha ciddi bir siber suç biçimine doğru bir basamak olarak kullanılabileceğinden, tehdit özellikle endişe vericidir.
Proofpoint, 15 Aralık’ta kampanyayı ilk fark eden kişi gibi görünüyor ve Microsoft daha sonra tüm sahte hesapları ve uygulamaları devre dışı bırakmak için harekete geçti.
Microsoft yaptığı duyuruda, “Microsoft, müşterileri korumak için tehdit aktörlerinin sahip olduğu uygulamaları ve hesapları devre dışı bıraktı ve bu özel tehdit aktörüne karşı alınabilecek diğer önlemleri belirlemek için Dijital Suçlar Birimimizle iletişime geçti.” (yeni sekmede açılır).
“MCPP inceleme sürecini iyileştirmek ve gelecekte benzer hileli davranış riskini azaltmak için birkaç ek güvenlik önlemi uyguladık.”
Microsoft ayrıca etkilenen tüm şirketlere ulaştığını ve onları tehlikeye karşı güvende olduklarından emin olmak için ortamlarını kapsamlı bir şekilde araştırmaları konusunda uyardığını söyledi.
BleepingBilgisayar kötü niyetli aktörlerin “rıza kimlik avı” saldırıları yürütmek ve iş Office 365 ve Microsoft 365 verilerini hedeflemek için OAuth uygulamalarını giderek daha fazla kullandığını ve Microsoft’u “doğrulanmış” durumunu sunmaya zorladığını söylüyor.
Üzerinden: BleepingBilgisayar (yeni sekmede açılır)
