Rusya’ya Bağlı Hacker’ların Microsoft 365 Hedefli Phishing Saldırıları
Son dönemde, Rusya ile ilişkilendirilen bir grup, cihaz kodu doğrulama akışını kullanan bir phishing kampanyası ile Microsoft 365 hesaplarına yönelik siber saldırılar gerçekleştirmekte. Bu saldırı, Eylül 2025’ten beri devam etmekte olup, Proofpoint tarafından UNK_AcademicFlare adı altında izlenmektedir.
Saldırı Yöntemleri ve Hedefler
Saldırılar, hükümet ve askeri organizasyonlara ait ele geçirilmiş e-posta adresleri kullanılarak yürütülmekte. Hedef alınan sektörler ise hükümet, düşünce kuruluşları, yükseköğrenim ve ulaşım sektörlerini kapsıyor. Saldırganlar, bu adresleri kullanarak, hedef kitleleriyle sahte toplantılar veya mülakatlar düzenlemek amacıyla ikna edici e-postalar göndermektedir.
Phishing Süreci
Saldırının bir parçası olarak, saldırganlar e-posta alıcısına bir belge bağlantısı paylaşmakta. Bu bağlantı, alıcının toplantı öncesinde gözden geçirmesi gereken konular içermektedir. Ancak verilen URL, Cloudflare Worker URL’sini kullanarak, sahte bir Microsoft OneDrive hesabına yönlendirmektedir. Kullanıcı, sağlanan kodu kopyalayıp “İleri” butonuna bastığında, aslında Microsoft’un gerçek cihaz kodu giriş sayfasına yönlendirilmektedir. Burada, önceki kod girildiğinde, hizmet bir erişim belirteci üreterek saldırganların mağdurun hesabını kontrol altına almasına olanak tanımaktadır.
Tehdit Aktörleri ve Araçlar
Device code phishing’i, Microsoft ve Volexity tarafından detaylı bir şekilde belgelenmiş olup, bu saldırı yöntemi, Rusya’ya bağlı gruplar tarafından kullanılmaktadır. Geçen birkaç ay içerisinde, Amazon Threat Intelligence ve Volexity, bu saldırıları artıran Rus tehdit aktörlerini bildirmiştir.
Saldırıda kullanılan araçlar arasında, Graphish phishing kiti ve SquarePhish gibi red-team araçları yer almaktadır. Bu araçlar, kullanımı kolay olacak şekilde tasarlanmış olup, teknik uzmanlık gerektirmediğinden, düşük beceri seviyesine sahip saldırganların da karmaşık phishing kampanyaları düzenlemesine imkan tanımaktadır.
Korunma Yöntemleri
Device code phishing riskine karşı alınabilecek en etkili önlem, tüm kullanıcılar için cihaz kodu akışını engelleyen bir Koşullu Erişim politikası oluşturmaktır. Bu mümkün değilse, belirli kullanıcılar, işletim sistemleri veya IP aralıkları için cihaz kodu doğrulamasını izin listesi yaklaşımı ile sınırlamak önerilmektedir.
Sonuç
Rusya’ya bağlı tehdit gruplarının Microsoft 365 hesaplarına karşı başlattığı bu phishing kampanyaları, kullanıcıların hesap güvenliğini büyük ölçüde tehdit ediyor. Kuruluşların, bu tür saldırılara karşı hazırlıklı olmaları ve gerekli önlemleri alarak siber güvenliklerini güçlendirmeleri hayati öneme sahiptir. Kullanıcıların bu tehditlere karşı bilinçlenmesi ve saldırganların taktikleri konusunda bilgi sahibi olmaları, bu tür saldırıların etkisini azaltacaktır.
