Microsoft, Azure AD’i Hedef Alan Phishing Saldırıları İçin Uyardı

Microsoft’un tehdit analistleri, istismar edilmiş cihazlarını müşterilerin ağına kaydetmek ve bunları phishing e-postalarını dağıtmak için kullanmaya hazırlanan kimlik avı saldırısı için uyardı. Raporun belirtilen, saldırıların çok faktörlü kimlik doğrulama (MFA) korumasına sahip olmayan hesaplar aracılığıyla yapıldığını ortaya çıkarttı.

Saldırganlar, kurbana Office 365 oturum açma sayfasını taklit eden ve daha fazla güvenilirlik için kurbanın kullanıcı bilgilerini doldurması zorlayan özel bir hazırlanmış bir url gönderiyor. Microsoft’un telemetri verileri, saldırıların ilk aşamasının esas olarak Avustralya, Singapur, Endonezya ve Tayland’da bulunan firmalara odaklandığını gösteriyor.

İstismar için Azure AD kaydı kullanılıyor

Kimlik bilgileri ellerinde olan saldırganlar Outlook’u kendi makinelerine (Windows 10) yüklüyor ve kullanıcının e-posta hesabına giriş yapıyor. Bu atak, saldırganın cihazının otomatik olarak şirket Azure Active Directory’ye bağlanmasına ve onu kaydetmesine neden oluyor. Microsoft, “Azure AD’deki bir MFA ilkesinin sahte kayıtlara izin vermeyeceğini ekleyerek, çalınan kimlik bilgileriyle oturum açarak Outlook’un ilk başlatma deneyimini kabul etmesinden kaynaklanıyor olabilir” diyor. Saldırganın, cihazı kuruluşların ağına eklendiğinde ikinci aşamaya geçerek hedeflenen firmanın çalışanlarına ve ortaklarına, tedarikçiler gibi dış hedeflere e-postalar gönderiyor.

Bu süreç sonunda, epostalar güvenilir bir çalışma alanından geldiğinden, güvenlik çözümleri tarafından işaretlenmezler ve saldırganların başarı şansını arttırır. Ancak Azure AD, bir cihaz kimlik doğrulaması yapmaya çalıştığında bir etkinlik zaman damgasını tetikler; bu, güvenlik departmanı için şüpheli kayıtları keşfetmesi için bir olanak sağlıyor. Kayıtlar fark edilmezse, saldırganlar Outlook’ta çalınan geçerli kimlik bilgilerini kullanarak etki alanının tanınan ve güvenilen ortamdan mesaj göndermelerine izin veriyor.

Hangi önlemler alınabilir

Kaynak: bleepingcomputer.com

Exit mobile version