Şirket İçerisine Yönelik Vishing Saldırıları Artıyor
Son dönemlerde, Mandiant tarafından bildirilen ShinyHunters SaaS veri hırsızlığı saldırıları, hedeflenen sesli oltalama (vishing) saldırıları ve şirket markalı oltalama siteleri ile desteklenmektedir. Bu durum, kullanıcıların tek oturum açma (SSO) kimlik bilgileri ve çok faktörlü kimlik doğrulama (MFA) kodlarının çalınmasına neden olmaktadır.
Saldırı Nasıl Çalışıyor?
Tehdit aktörleri, doğrudan çalışanlarla iletişime geçerek, MFA ayarlarının güncellenmesi gerektiğini iddia etmektedir. Bunun ardından hedeflenen çalışan, şirketlerinin oturum açma portalına benzeyen bir oltalama sitesine yönlendirilmektedir.
Okta’ya göre, bu siteler, saldırganların mağdurlarla telefon görüşmeleri sırasında interaktif diyaloglar göstermesine olanak tanıyan gelişmiş oltalama kitleri kullanmaktadır. Hedeflenen bir çalışan ile konuşurken, saldırganlar çalınan kimlik bilgilerini gerçek zamanlı olarak iletebilmekte, geçerli MFA zorluklarını tetikleyebilmekte ve mağdura nasıl yanıt vereceğini anlatabilmektedir.
Bu yöntem, saldırganların çalınan kimlik bilgileriyle başarılı bir şekilde kimlik doğrulaması yapmasına ve kendi cihazlarını MFA’ya kaydetmesine olanak tanır. Hesaba erişim sağladıktan sonra, saldırganlar bir organizasyonun Okta, Microsoft Entra veya Google SSO paneline giriş yaparak, kullanıcının erişim iznine sahip olduğu tüm SaaS uygulamalarını görebilmektedir.
Etkilenen Sistemler
ShinyHunters’ın ana hedeflerinden biri Salesforce olmak üzere, etkilenen bazı uygulamalar arasında şunlar bulunmaktadır:
- Microsoft 365
- SharePoint
- DocuSign
- Slack
- Atlassian
- Dropbox
- Google Drive
Bu uygulamalara erişim, bir tek tehlikeye maruz kalan hesap üzerinden birden fazla hizmete erişim sağlamak için bir sıçrama tahtası görevi görmektedir.
Mandiant, bazı saldırıların UNC6661, UNC6671 ve UNC6240 (ShinyHunters) olarak sınıflandırılan farklı tehdit kümeleri tarafından gerçekleştirildiğini bildirmiştir.
Çözüm ve Korunma
Saldırganlar, veri hırsızlığının ardından e-posta silme gibi yöntemlerle faaliyetlerini gizlemek için çeşitli araçlar kullanmaktadır. Mandiant’ın sağladığı öneriler arasında:
- SSO hesaplarına yönelik hızlı veri çıkarımı tespit etmek
- PowerShell User-Agent’in SharePoint veya OneDrive’a erişim sağlaması
- ToogleBox Recall için beklenmedik Google Workspace OAuth yetkilendirmesi
- MFA değişiklik bildirim e-postalarının silinmesi
Organizasyonların bu tür saldırılara karşı önlem alması için Mandiant, kimlik çalışma akışlarını güçlendirme, doğru telemetriyi kaydetme ve veri hırsızlığı gerçekleşmeden önce oltalama davranışlarını tespit etme üzerine önerilerde bulunmuştur.
Sonuç olarak, sistem yöneticileri ve güvenlik ekipleri için kritik olan adımlar şunlardır:
- Güncellemeleri yapın: Kullanıcılar için Ortak Kimlik Sağlayıcılar (SSO) ve MFA ayarlarını kontrol edin.
- Portları kapatın: Gereksiz bağlantıları kesin.
- Farkındalık oluşturun: Çalışanlarınıza oltalama saldırıları hakkında eğitim verin.
Bu stratejiler, organizasyonları ShinyHunters gibi kötü niyetli aktörlerden koruma hususunda önemli bir rol oynamaktadır.
