EvilProxy Kimlik Avı Kiti

Infosec araştırmacıları, dolandırıcılıkla ilgili aktörlerin EvilProxy adlı bir Hizmet Olarak Kimlik Avı (PhaaS) araç setini aşamalı olarak kullandığını fark etti. Kötü amaçlı yazılım, özellikle önde gelen kuruluşlardaki yöneticilere odaklanarak hesap ele geçirme saldırılarını düzenlemenin bir yolu olarak dağıtılıyor.

Böyle bir saldırı kampanyasının, EvilProxy araç setinin işlevlerinden yararlanan hibrit bir strateji kullandığı gözlemlendi. Amaç, önemli sayıda Microsoft 365 kullanıcı hesabını hedeflemek ve Mart ile Haziran 2023 arasındaki zaman dilimi içinde dünya çapında çok sayıda kuruluşta yaklaşık 120.000 kimlik avı e-postasının dağıtılmasıyla sonuçlanmak.

Önemli bir şekilde, güvenliği ihlal edilmiş çok sayıda kullanıcı arasında yaklaşık %39'u C düzeyindeki yöneticiler olarak tanımlanıyor. Bu, %9'u oluşturan CEO'ları ve %17'yi oluşturan CFO'ları içermektedir. Bu saldırılar aynı zamanda hassas finansal kaynaklara veya kritik bilgilere erişimi olan personele de odaklanır. Etkileyici bir şekilde, güvenliği ihlal edilmiş tüm kullanıcıların en az %35'i ek hesap güvenliği katmanlarını seçmişti.

Siber güvenlik uzmanları, bu düzenlenmiş kampanyaların, işletmelerde çok faktörlü kimlik doğrulamanın (MFA) artan uygulamasına doğrudan bir yanıt olduğunu belirtiyor. Sonuç olarak, tehdit aktörleri, ortadaki düşman (AitM) kimlik avı kitlerini dahil ederek stratejilerini yeni güvenlik engellerini aşacak şekilde uyarladılar. Bu kitler, kimlik bilgilerini, oturum tanımlama bilgilerini ve tek seferlik parolaları yakalamak için tasarlandı ve böylece saldırganların, oltalama yapılan bir kullanıcının yüksek düzeyde öneme sahip olup olmadığını gerçek zamanlı olarak ayırt etmelerini sağlıyor. Bu kesin tanımlama, saldırganların daha az değerli profilleri göz ardı ederek çabalarını kazançlı hedeflere odaklayarak hesaba hızla erişmelerini sağlar.

EvilProxy Gibi Kimlik Avı Kitleri, Düşük Becerili Siber Suçluların Sofistike Saldırılar Gerçekleştirmesine İzin Verir

EvilProxy, araştırmacılar tarafından ilk olarak Eylül 2022'de Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter dahil olmak üzere çeşitli önde gelen platformlarla ilişkili kullanıcı hesaplarını tehlikeye atma yeteneğini açıkladığında bildirildi. Yahoo ve Yandex, diğerleri arasında. Bu araç seti, aylık 400 ABD doları taban ücretle sunulan bir abonelik hizmeti olarak pazarlanmaktadır. Ancak, Google hesaplarını hedeflemek için maliyet, bu kimlik bilgileriyle ilişkilendirilen daha yüksek değeri yansıtacak şekilde 600 ABD dolarına yükselebilir.

Hizmet Olarak Kimlik Avı (PhaaS) araç takımları, teknik olarak daha az yetenekli suçlular için giriş engellerini etkili bir şekilde azaltarak siber suç ortamında dikkate değer bir evrimi temsil eder. Bu evrim, sorunsuz ve uygun maliyetli bir yaklaşımı korurken, karmaşık kimlik avı saldırılarının büyük ölçekte yürütülmesini sağlar.

Tehditlerin bu kadar basit ve bütçe dostu arabirimlerle kullanılabilirliği, başarılı çok faktörlü kimlik doğrulama (MFA) kimlik avı faaliyetlerinde önemli bir artışa neden oldu. Bu eğilim, siber suçlular tarafından kullanılan taktiklerde bir değişikliğe işaret ederek, onların MFA sistemlerinin güvenlik açıklarından verimli bir şekilde yararlanmalarına ve saldırılarının ölçeğini artırmalarına olanak tanıyor.

EvilProxy Tehdit Aktörleri, Şüphelenmeyen Kurbanları Çekmek İçin Sahte E-postalar Kullanıyor

Kaydedilen saldırı operasyonları, Adobe ve DocuSign gibi güvenilir hizmetler kisvesine bürünen kimlik avı e-postalarının dağıtılmasıyla başlar. Bu aldatıcı yaklaşım, alıcıları e-postalarda bulunan kötü amaçlı URL'lerle etkileşime sokmayı amaçlamaktadır. Bu URL'ler tıklandığında, çok aşamalı bir yeniden yönlendirme dizisi tetiklenir. Amaç, hedefi orijinal portalı taklit edecek şekilde akıllıca tasarlanmış Microsoft 365 benzeri bir oturum açma sayfasına yönlendirmektir. Sahte oturum açma sayfası, form aracılığıyla gönderilen bilgileri gizli bir şekilde yakalayan bir ters proxy görevi görür.

Bu kampanyadaki dikkate değer bir unsur, Türk IP adreslerinden kaynaklanan kullanıcı trafiğinin kasıtlı olarak hariç tutulmasıdır. Bu belirli trafik, meşru web sitelerine yönlendirilerek, kampanya düzenleyicilerinin kökenlerinin o ülkede olabileceği ihtimaline işaret ediyor.

Başarılı bir hesap devralma işlemi gerçekleştirildikten sonra, tehdit aktörleri kuruluşun bulut ortamında sağlam bir yer edinmeye devam eder. Bu, iki faktörlü kimlik doğrulama uygulaması gibi kendi çok faktörlü kimlik doğrulama (MFA) yöntemlerini tanıtarak gerçekleştirilir. Bu stratejik hareket, tehdit aktörlerinin tutarlı uzaktan erişim sağlayabilmesini sağlayarak sistem içinde yanal hareketi ve ek kötü amaçlı yazılımların çoğalmasını kolaylaştırıyor.

Edinilen erişim daha sonra para kazanma amacıyla kullanılır. Tehdit aktörleri mali dolandırıcılık yapmayı, gizli verileri çalmayı ve hatta güvenliği ihlal edilmiş kullanıcı hesaplarını diğer kötü niyetli kuruluşlara satmayı seçebilir. Mevcut dinamik tehdit ortamında, özellikle EvilProxy tarafından örneklenen ters proxy tehditleri, geçmişte kullanılan daha az karmaşık kimlik avı kitlerinin yeteneklerini geride bırakan son derece güçlü bir tehdittir. Özellikle, çok faktörlü kimlik doğrulamanın (MFA) bile bu gelişmiş bulut tabanlı tehditlere karşı bağışıklığı yoktur.