Siber suçlular, yönetici hesaplarını ele geçirmek için giderek daha fazla çok faktörlü kimlik doğrulamayı (MFA) kullanıyor. Proofpoint'in BT güvenlik uzmanları bunu öğrendi. Siber suçluların büyük şirketlerdeki üst düzey yöneticilerin bulut hesaplarına erişebildiği olaylarda son altı ayda yüzde 100'ün üzerinde bir artış görüldü.
Dünya çapında toplam 100 milyondan fazla çalışanı olan 1,5'den fazla şirket etkilendi. Suçlular saldırıları için EvilProxy'yi kullandı. Bu, saldırganların MFA korumalı kimlik bilgilerini ve oturum çerezlerini çalmasına olanak tanıyan, ters proxy mimarisine sahip bir kimlik avı aracıdır.
Saldırganlar MFA korumasını atlar
🔎 AitM Şeffaf Ters Proxy: Saldırganlar MFA korumasını bu şekilde atlatırlar: Kimlik avı bağlantısı, kullanıcının doğru MFA kodunu ilettiği sahte bir giriş sayfasına yönlendirir (Resim: Kanıt Noktası)
Proofpoint uzmanları bu yeni saldırıları şöyle değerlendiriyor: "Çalışan kimlik bilgileri siber suçlular tarafından çok aranıyor: değerli veya hassas şirket bilgilerine ve kullanıcı hesaplarına erişim sağlayabilirler. Kimlik bilgileri genellikle çeşitli saldırı vektörleri sunsa da tüm kimlik bilgileri eşit derecede değerli değildir. Araştırmalar suçluların sıklıkla belirli işlevleri veya departmanları hedef aldığını gösteriyor. Bunu yaparken, örneğin çok faktörlü kimlik doğrulamayı tersine çevirmek için yöntem ve tekniklerini sürekli geliştirmeleri gerekiyor.
Popüler inanışın aksine MFA, karmaşık bulut tabanlı saldırılara karşı her derde deva değildir. Kötü niyetli aktörler, içeri girdikten sonra fark edilmeden bir kuruluşun etrafında saklanabilir ve istedikleri zaman karmaşık saldırılar başlatabilirler. Kullanıma hazır MFA bypass kimlik avı kitleri artık her yerde mevcut ve teknik bilgisi olmayan suçluların bile bir kimlik avı kampanyası başlatmasına ve çalışanları hesap kimlik bilgilerini vermeleri için kandırmasına olanak tanıyor."
Ters Proxy Kötüye Kullanımı
MFA'nın artan kullanımı, bu güvenlik katmanını aşmaya yardımcı olan kimlik avı kitlerinin ve araçlarının çoğalmasına yol açtı. Siber suçlular, gerçek zamanlı olarak kimlik bilgilerini ve oturum çerezlerini çalmak için EvilProxy gibi Ortadaki Düşman (AitM) kimlik avı kitlerini giderek daha fazla kullanıyor.
EvilProxy'nin bir kimlik avı aracı olarak etkinliği iyi bilinmektedir. Ancak Proofpoint'in uzmanları, BT güvenlik liderlerinin Ticari E-posta Tehlikesi (BEC) ve Hesap Devri (ATO) gibi riskler ve potansiyel sonuçlar konusundaki farkındalığında endişe verici bir boşluk tespit etti.
Aşama 1: EvilProxy ile Kimlik Avı
🔎 Tüm bireysel adımlarda saldırı zinciri (Resim: Proofpoint).
Mart ayının başından bu yana Proofpoint uzmanları, binlerce Microsoft 365 kullanıcı hesabına saldırmak için EvilProxy'yi kullanan bir kampanyayı izliyor. Bu kampanyanın toplam hacmi etkileyici: Mart ve Haziran 2023 arasında, dünya çapında hedeflenen yüzlerce kuruluşa yaklaşık 120.000 kimlik avı e-postası gönderildi.
Saldırılarının kimlik avı aşamasında suçlular üç ana teknik kullandı:
- Marka kimliğine bürünme: Gönderenler, güvenilir hizmetleri ve uygulamaları taklit eder; B. Concur Çözümleri, DocuSign ve Adobe.
- Tarama engelleme: Saldırganlar, güvenlik çözümlerinin kötü amaçlı web sitelerini analiz etmesini zorlaştırmak için siber güvenlik tarama botlarına karşı korumayı kullandı.
- Çok aşamalı enfeksiyon zinciri: Saldırganlar, trafiği açık olarak erişilebilen meşru yönlendirmeler aracılığıyla yönlendirir.
Saldırganlar, e-postalarını otomatik tarama araçlarından gizlemek için özel e-posta kodlaması kullanır ve PHP kodlarını yüklemek ve belirli bir kullanıcının e-posta adresinin şifresini çözmek için saldırıya uğramış meşru web sitelerini kullanır.
Aşama 2: Hesabın Uzlaşması
Hedeflenen kullanıcıların listesi birçok üst düzey hedefi içerir; B. Lider şirketlerdeki Genel Müdürler, Kurumsal Direktörler, C Düzeyi Yöneticiler ve Başkan Yardımcıları. Bu kişiler, hassas verilere ve varlıklara erişim potansiyeline sahip oldukları için suçlular tarafından özellikle değerlidir. Güvenliği ihlal edilen yüzlerce kullanıcının yaklaşık yüzde 39'u, yüzde 17'si CFO'lar ve yüzde 9'u başkanlar ve CEO'lar dahil olmak üzere üst düzey yönetim (“C düzeyi”) çalışanlardı. Saldırganlar ayrıca alt düzey yönetime de ilgi göstererek çabalarını varlıklara veya hassas bilgilere erişimi olan çalışanlara odaklıyor.
Aşama 3: Uzlaşmanın ardından kötüye kullanım
Saldırganlar kurbanın hesabına erişim sağladıktan sonra kendilerini kurbanın bulut ortamına yerleştirirler. Saldırganlar birçok kez MFA manipülasyonlarını gerçekleştirmek için yerel bir Microsoft 365 uygulamasını kullandı. Saldırganlar, "Oturum Açma Bilgilerim"i kullanarak kendi çok faktörlü kimlik doğrulama yöntemini ekleyerek ele geçirilen kullanıcı hesaplarına kalıcı erişim sağlamayı başardılar. Yöntemi, mesaj ve kod içeren bir kimlik doğrulama uygulaması aracılığıyla tercih ediyorlar.
Daha fazlası Proofpoint.com'da
Prova Noktası Hakkında Proofpoint, Inc. önde gelen bir siber güvenlik şirketidir. Proofpoint'in odak noktası, çalışanların korunmasıdır. Çünkü bunlar bir şirket için en büyük sermaye, aynı zamanda en büyük risk anlamına gelir. Entegre bir bulut tabanlı siber güvenlik çözümleri paketiyle Proofpoint, dünyanın dört bir yanındaki kuruluşların hedeflenen tehditleri durdurmasına, verilerini korumasına ve kurumsal BT kullanıcılarını siber saldırı riskleri konusunda eğitmesine yardımcı olur.