FBI, 'Kali365' Kimlik Avı Kitinin Microsoft 365 OAuth Tokenlarını Ele Geçirdiği Uyarısında Bulundu Linux

FBI, 'Kali365' Kimlik Avı Kitinin Microsoft 365 OAuth Tokenlarını Ele Geçirdiği Uyarısında Bulundu

FBI, Kali365 adlı yeni bir hizmet olarak kimlik avı (PhaaS) platformunun öncelikle Telegram aracılığıyla dağıtıldığı konusunda uyardı....

FBI, Kali365 adlı yeni bir hizmet olarak kimlik avı (PhaaS) platformunun öncelikle Telegram aracılığıyla dağıtıldığı konusunda uyardı.

İlk olarak Nisan 2026'da tespit edilen Kali365, siber tehdit aktörlerine yapay zeka tarafından oluşturulan kimlik avı tuzaklarına, otomatik kampanya şablonlarına, gerçek zamanlı hedefli birey ve varlık izleme kontrol panellerine erişim sağlar.

Ayrıca teknik açıdan düşük seviyeli kişilerin OAuth belirteçlerini (Microsoft 365 erişim belirteçleri) yakalamasına ve kullanıcının kimlik bilgilerine müdahale etmeden çok faktörlü kimlik doğrulama (MFA) protokollerini atlamasına olanak tanır.

Kali365 platformu aboneliği sayesinde siber tehdit aktörleri, hedeflenen kişilerin/kurumların Microsoft 365 ortamlarına kalıcı erişim sağlayabilir.

Kali365 Saldırı Zinciri

FBI tarafından 21 Mayıs'ta yayınlanan bir danışma belgesinde ayrıntılı olarak açıklanan tipik bir saldırı zincirinde, bir saldırgan, güvenilir bulut üretkenliğini ve belge paylaşım hizmetlerini taklit eden bir kimlik avı e-postası göndererek dolandırıcılığı başlatır.

Bu e-posta, yasal bir Microsoft doğrulama sayfasını ziyaret etme ve kodu girme talimatlarının yanı sıra bir cihaz kodu içerir.

Teknik Analiz

Kurbanlar gerçek Microsoft sayfasına gider ve cihaz kodunu yapıştırır, böylece farkında olmadan saldırganın cihazının kendi hesaplarına erişmesine izin verir.

Saldırgan daha sonra OAuth erişimini yakalar ve belirteçleri yenileyerek hedeflenen kişi veya kuruluşların Microsoft 365 hesabına erişim sağlar.

Sonuç ve Değerlendirme

Saldırgan, elindeki bu belirteçlerle artık bir parolaya ihtiyaç duymadan veya herhangi bir ek MFA sorgulamasını tamamlamadan Outlook, Teams ve OneDrive gibi Microsoft 365 hizmetlerine erişebilir, böylece ele geçirilen hesapta kalıcılık sağlanır.

Kali365 Benzeri Tehditleri Azaltma

Önemli Gelişmeler

Kali365 özellikli siber suçluların hedefi olma tehdidini azaltmak için FBI aşağıdaki önlemleri önerdi:

Cihaz kimlik doğrulama kodlarını sınırlamak veya engellemek için cihaz kodu akışını kısıtlayın

Sistem Güvenliği

Gerekli iş süreçleri için sınırlı istisnalar dışında, tüm kullanıcılar için cihaz kodu akışını engellemek üzere koşullu bir erişim politikası oluşturun

Kullanıcıların kimlik doğrulamasını bilgisayarlardan mobil cihazlara aktarmalarını önlemek için kimlik doğrulama aktarım ilkelerini engelleyin

Gelecekte Ne Bekleniyor?

Kilitlenmeleri önlemek için acil erişim hesaplarını hariç tutun

Uzmanların Görüşleri

Resim kredisi: Ed Hardie / Unsplash

Paylaş: