Kurumsal yöneticilerin Microsoft 365 hesaplarını, hatta MFA tarafından korunan hesaplarını ele geçirmek için gelişmiş hedef odaklı kimlik avını Ortadaki Düşman (AiTM) taktikleriyle birleştiren yeni bir iş e-postası güvenliği (BEC) kampanyası keşfedildi.
Tehdit aktörleri, büyük kuruluşların CEO’ları veya CFO’ları gibi üst düzey çalışanların hesaplarına erişerek, büyük bir işlemi banka hesaplarına yönlendirmek için iletişimleri izleyebilir ve e-postalara doğru zamanda yanıt verebilir.
Bu, tehdit aktörlerinin güvenliği ihlal edilen hesaptan son anda bir e-posta göndererek işlemin yetkili üyesinden banka hesabı hedefini değiştirmesini talep ettiği tipik bir iş e-postası ele geçirme saldırılarıdır.
Mitiga’daki araştırmacılar, yeni kampanyayı bir olay müdahale vakası sırasında keşfetti ve şu anda yaygın olduğunu ve her birinin birkaç milyon USD’ye kadar olan işlemleri hedeflediğini bildirdi.
Bu saldırılarda gönderilen kimlik avı e-postaları, hedefe, genellikle ödeme gönderdikleri kurumsal banka hesabının bir mali denetim nedeniyle dondurulduğunu söyler ve iddia edilen bir yan kuruluşun hesabına geçiş yapan yeni ödeme talimatlarını içerir. Ancak bu yeni banka hesabı, ödemeyi çalan tehdit aktörlerine aittir.
Saldırgan, alıcıları kandırmak için e-posta dizilerini ele geçirir ve kurbanın bildiği CC’li yasal temsilcilere hızlı bir şekilde gerçek olarak geçen ve onları değiş tokuşa dahil eden yazım denetimi alanlarını kullanır.
Uzlaşmadan MFA kalıcılığına
Şirket yöneticilerine yönelik saldırı, kurumsal ortamlarda yaygın olarak kullanılan bir elektronik sözleşme yönetim platformu olan DocuSign’dan geliyormuş gibi görünen bir kimlik avı e-postasıyla başlar.
E-posta DMARC kontrollerini geçemese de Mitiga, DocuSign’dan gelen yanlış pozitif spam uyarılarını azaltmak için uygulanan yaygın güvenlik yanlış yapılandırmalarının hedefin gelen kutusuna ulaşmasına yardımcı olduğunu buldu.
“Belgeyi İncele” düğmesine tıklandığında, kurban, sahte bir etki alanındaki bir kimlik avı sayfasına götürülür ve burada alıcıdan Windows etki alanında oturum açması istenir.
Tehdit aktörlerinin, aşağıdakiler gibi bir kimlik avı çerçevesi kullandığına inanılıyor: kötülükx2 vekil, Ortadaki Düşman (AiTM) saldırısı olarak adlandırılan şeyi yürütmek için.
AiTM saldırıları sırasında, kötümserx2 gibi araçlar, bir kimlik avı sayfası ile hedeflenen bir şirket için meşru bir giriş formu arasında ortada duran vekiller gibi davranır.
Proxy ortada otururken, bir kurban kimlik bilgilerini girip MFA sorusunu çözdüğünde, proxy, Windows etki alanı tarafından oluşturulan oturum tanımlama bilgisini çalar.
Tehdit aktörleri, kurbanın hesabına otomatik olarak giriş yapmak ve önceki girişte doğrulanmış olan MFA’yı atlamak için çalınan oturum çerezlerini artık kendi tarayıcılarına yükleyebilir.
Geçerli oturumların süresi dolabileceği veya iptal edilebileceği için, tehdit aktörleri yeni bir MFA cihazı ekler ve onu ihlal edilen Microsoft 365 hesabına bağlar; bu, herhangi bir uyarı oluşturmayan veya orijinal hesap sahibiyle daha fazla etkileşim gerektirmeyen bir harekettir.
Mitiga tarafından görülen vakada, tehdit aktörü, yeni kimlik doğrulama cihazı olarak bir cep telefonu ekleyerek, güvenliği ihlal edilen hesaba kesintisiz erişimlerini sağladı.
Araştırmacılara göre, tehdit aktörleri bu gizli ihlali neredeyse yalnızca Exchange ve SharePoint’e erişmek için kullandılar. Günlüklere göre, kurbanın gelen kutusuyla ilgili herhangi bir işlem yapmadılar, muhtemelen sadece e-postaları okudular.
Ancak, tehdit aktörü muhtemelen fatura ödemelerini saldırganların kontrolündeki banka hesaplarına yönlendirmek için kendi e-postalarını enjekte etmek için doğru anı bekliyordu.
Windows yöneticileri, kullanıcı hesaplarındaki MFA değişikliklerini aşağıdakiler aracılığıyla izleyebilir: Azure Active Directory Denetim Günlükleri.