Tehdit Aktörlerinin Sahte Microsoft OAuth Uygulamalarıyla Gerçekleştirdiği Saldırılar
Siber güvenlik araştırmacıları, tehdit aktörlerinin sahte Microsoft OAuth uygulamaları kullanarak kimlik avı saldırıları düzenlediğini ortaya koydu. Bu saldırılar, işletmeleri taklit eden sahte uygulamalar aracılığıyla, kullanıcıların kimlik bilgilerini ele geçirmeyi hedefliyor.
Sahte Microsoft 365 Uygulamaları ve Hedefler
Sahte Microsoft 365 uygulamaları, RingCentral, SharePoint, Adobe ve Docusign gibi çeşitli şirketleri taklit ediyor. 2025 yılının başlarında tespit edilen bu kampanya, OAuth uygulamalarını kullanarak Microsoft 365 hesaplarına yetkisiz erişim sağlamayı amaçlıyor. Phishing kitleri olan Tycoon ve ODx gibi araçlar, çok faktörlü kimlik doğrulama (MFA) kimlik avı gerçekleştirebiliyor.
Yapılan araştırmalara göre, bu saldırılar, ele geçirilmiş hesaplardan gönderilen kimlik avı e-postalarıyla başlıyor. E-postalar, alıcıyı teklif talepleri (RFQ) veya iş sözleşmesi talepleri göndermeyi vaat eden URL’lere yönlendirmeyi hedefliyor. Kullanıcılar, bu bağlantıları tıkladıklarında, “iLSMART” adlı sahte bir Microsoft OAuth sayfasına yönlendiriliyor.
İleri Düzey Sosyal Mühendislik Taktikleri
Bu saldırının dikkat çekici yanı, ILSMart’ın taklit edilmesidir. ILSMart, havacılık, denizcilik ve savunma sanayilerinde parça ve onarım hizmetleri satışı için kullanılan yasal bir çevrimiçi pazar yeridir. Uygulamanın istenen izinleri, bir saldırgan için sınırlı bir kullanıma neden olsa da, saldırının bir sonraki aşamasını kurmak için kullanılıyor.
Kullanıcı, izinleri kabul etse de etmese de, ilk olarak bir CAPTCHA sayfasına yönlendirilir ve ardından sahte bir Microsoft hesap kimlik doğrulama sayfasına geçilir. Bu sahte Microsoft sayfası, Tycoon Phishing-as-a-Service (PhaaS) platformu tarafından desteklenen adversary-in-the-middle (AitM) kimlik avı teknikleri kullanarak kurbanın kimlik bilgilerini ve MFA kodlarını toplar.
Son Dönemdeki Taklit Saldırıları
Geçtiğimiz ay, Adobe’yi taklit eden başka bir kampanya tespit edildi. Bu kampanyada e-postaların, Twilio SendGrid adlı bir e-posta pazarlama platformu üzerinden gönderildiği belirlendi. Yine aynı hedefle, kullanıcıların yetkisini almak veya bir iptal akışını tetiklemek amacıyla kimlik avı sayfasına yönlendirilmeleri amaçlanıyor.
Bu tür saldırıların sayısı, Tycoon ile ilişkili faaliyetlerin sadece bir bölümünü oluşturuyor. 2025 yılı itibarıyla, 900’den fazla Microsoft 365 ortamını kapsayan yaklaşık 3.000 kullanıcı hesabının etkilendiği hesap ele geçirme girişimleri gözlemlendi. Araştırmacılar, tehdit aktörlerinin, tespitleri aşmak ve dünya genelinde örgütlere erişim sağlamak için giderek daha yenilikçi saldırı zincirleri oluşturduğunu belirtiyor.
Gelecekteki Güvenlik Güncellemeleri
Geçtiğimiz ay Microsoft, güvenliği artırmak için varsayılan ayarları güncellemeyi planladığını duyurdu. Eski kimlik doğrulama protokollerinin engellenmesi ve üçüncü taraf uygulama erişimi için yönetici onayı gerekliliği gibi yenilikler, 2025 yılına kadar tamamlanması bekleniyor. Bu güncellemeler, özellikle bu tekniği kullanan tehdit aktörleri üzerinde olumlu bir etki yaratacak.
Ayrıca, Microsoft’un, Ekim 2025 ile Temmuz 2026 arasında engellenmiş dosya türleri için dış çalışma kitaplarına bağlantıları varsayılan olarak devre dışı bırakma kararı, çalışma kitabı güvenliğini artırmayı hedefliyor.
Yeni Kimlik Avı Yöntemleri ve Malware Dağıtımı
Sonuç olarak, spear-phishing e-postalarının, sahte ödeme makbuzları içererek bir .NET kötü amaçlı yazılımı olan VIP Keylogger’ı dağıttığı da bildirilmektedir. Bu tür e-postalar, kullanıcıların hassas verilerini çalmak için kullanılıyor.
Bunun yanı sıra, PDF dosyaları içinde uzaktan masaüstü yazılımlarının yükleme bağlantılarını gizleyen spam kampanyaları düzenlenmektedir. Bu kampanyanın geçen yıldan beri devam ettiği düşünülüyor ve özellikle Fransa, Lüksemburg, Belçika ve Almanya’daki varlıkları hedef alıyor.
PDF’ler genellikle fatura, sözleşme veya gayrimenkul ilanları gibi görünerek, kullanıcıların üzerinde şüphe uyandırmadan tıklamalarını teşvik ediyor. Uzaktan İzleme ve Yönetim (RMM) araçları, bu faaliyet kümesi içinde önemli bir rol oynamaktadır.
