Microsoft 365 Kullanıcıları Hedef Alan Yeni Vishing Saldırısı: Entra Passkey Dolandırıcılığı Linux

Microsoft 365 Kullanıcıları Hedef Alan Yeni Vishing Saldırısı: Entra Passkey Dolandırıcılığı

Siber suçlular, sesli aramalarla Microsoft 365 kullanıcılarını hedef alan yeni bir vishing kampanyası başlattı. Saldırganlar, sahte Entra passkey kayd

Microsoft 365 kullanıcıları, yeni bir siber tehdit ile karşı karşıya. Kimlik avı (vishing) yöntemiyle yürütülen bu saldırıda, dolandırıcılar kendilerini şirket destek personeli olarak tanıtıp kullanıcılardan 'Entra passkey' kaydı yapmalarını istiyor. Aslında bu kayıt, saldırganın kontrolündeki bir passkey'in kullanıcı hesabına eklenmesi anlamına geliyor. Okta ve Palo Alto Networks araştırmacıları, Pink olarak bilinen bir gasp çetesinin bu yöntemi kullandığını tespit etti.

Saldırı, Mayıs 2024'te Microsoft'un yöneticilere 'passkey kayıt kampanyaları' başlatma imkanı vermesinden yararlanıyor. Bu özellik, kurumların kullanıcılarını daha güvenli kimlik doğrulama yöntemlerine yönlendirmesi için tasarlanmıştı. Ancak tehdit aktörleri, bu meşru özelliği taklit ederek Nisan ayından bu yana bir kampanya yürütüyor. Hedeflenen kullanıcılar, güvenlik gerekçesiyle bir passkey kaydetmeleri gerektiği söylenerek aranıyor ve yönlendirildikleri sahte web sitelerinde kimlik bilgilerini girmeleri sağlanıyor.

Okta'nın O-UNC-066 olarak izlediği grup, özellikle gıda, teknoloji, sağlık, otomotiv, inşaat ve havacılık sektörlerindeki kurumları hedef alıyor. Saldırganlar, telefon görüşmelerinde kullanıcılara 'güvenlik güncellemesi' bahanesiyle yaklaşıyor ve URL'sinde 'passkey' kelimesi geçen sahte bağlantılara yönlendiriyor. Bu bağlantılar, kurbanın kurumunun markasını taşıyan ve gerçek Entra passkey kayıt portalını birebir taklit eden sayfalara açılıyor.

Önemli Gelişmeler

Kullanılan kimlik avı kiti, alışılagelmiş proxy tabanlı saldırılardan farklı. PHP tabanlı bu panel, saldırganın kurbanı gerçek zamanlı olarak yönlendirmesine olanak tanıyor. 1 saniyelik kalp atışı (heartbeat) mekanizması sayesinde, saldırgan kurbanın kullandığı çok faktörlü kimlik doğrulama (MFA) yöntemine (TOTP, push bildirimi, SMS OTP) göre akışı uyarlayabiliyor. Kurbanın girdiği kimlik bilgileri ve MFA yanıtları doğrudan saldırgana iletilerek, saldırgan kurbanın Microsoft hesabına erişiyor.

Kurban, hesabına yeni bir passkey kaydettiğini zannederken aslında saldırganın kontrolündeki passkey'i onaylamış oluyor. Sahte kayıt sayfası, kurbana BIP-39 kurtarma ifadesi (seed phrase) göstererek bu ifadenin bir kelimesini onaylamasını istiyor. Oysa gerçek Microsoft Entra passkey kaydında BIP-39 ifadelerinin yeri yok. Bu adım, sürece aşina olmayan kullanıcıların kafasını karıştırmak için eklenmiş bir dikkat dağıtma taktiği.

Palo Alto Networks Unit 42'ye göre Pink, The Com (Topluluk) adlı merkeziyetsiz tehdit ağına bağlı yeni bir gasp markası. Pink, vishing ve BT personeli taklidi yaparak kimlik bilgileri ve MFA kodları topluyor; ardından SharePoint ve OneDrive'dan veri sızdırıyor. 31 Mayıs'ta yayına giren gasp sitelerinde, ödeme yapmayan kurbanların verileri yayımlanıyor. Okta, kurumlara yardım masası personelini doğrulama yöntemleri geliştirmelerini ve hizmet verilmeyen bölgelerden gelen talepleri reddetmelerini öneriyor.

Kaynak: bleepingcomputer.com

Paylaş: