Microsoft 365 Kullanıcılarını Hedef Alan Yeni Vishing Kampanyası: Entra Passkey Sahtekarlığı Windows

Microsoft 365 Kullanıcılarını Hedef Alan Yeni Vishing Kampanyası: Entra Passkey Sahtekarlığı

Okta, Microsoft 365 kullanıcılarını hedef alan yeni bir vishing kampanyasını ortaya çıkardı. Saldırganlar, sahte Entra passkey kaydı ile kimlik avı ya

Siber güvenlik firması Okta, Microsoft 365 kullanıcılarını hedef alan yeni bir vishing (sesli kimlik avı) kampanyasını ortaya çıkardı. Saldırganlar, kullanıcıları arayarak güvenlik gerekçesiyle yeni bir Entra passkey kaydı yapmalarını istiyor ve onları sahte bir kayıt sayfasına yönlendiriyor. Bu sayede hem kimlik bilgilerini hem de çok faktörlü kimlik doğrulama (MFA) kodlarını ele geçiriyorlar.

Kampanya, Microsoft'un Mayıs ayında yöneticilere sunduğu 'passkey kayıt kampanyaları' özelliğini suistimal ediyor. Bu özellik, kuruluşların kullanıcılarını daha güvenli kimlik doğrulama için passkey kaydına teşvik etmesini amaçlıyor. Saldırganlar ise bu meşru özelliği taklit ederek kullanıcıları kandırıyor.

Okta, bu etkinliği 'O-UNC-066' kod adıyla takip ettiği bir aktöre atfediyor. Bu aktör, 'Pink' adı verilen bir gasp operasyonu yürütüyor. Pink, özellikle gıda, teknoloji, sağlık, otomotiv, inşaat ve havacılık sektörlerindeki kuruluşları hedef alıyor. Palo Alto Networks Unit 42'ye göre Pink, 'The Com' olarak bilinen merkezi olmayan tehdit ağının bir parçası.

Uzmanların Görüşleri

Saldırı süreci şöyle işliyor: Hedef kullanıcıya telefonla ulaşılıyor ve güvenlik nedeniyle yeni bir Microsoft Entra passkey kaydı yapması gerektiği söyleniyor. Kullanıcı, 'passkey' kelimesini içeren bir URL'ye yönlendiriliyor. Sahte web sitesi, kurbanın kuruluşunun markasını taşıyor ve gerçek Entra passkey kayıt portalını birebir taklit ediyor.

Saldırganlar, tipik bir ortadaki adam (AiTM) proxy'si yerine, PHP tabanlı bir panel kullanıyor. Bu panel, saldırganın kurbana gerçek zamanlı olarak rehberlik etmesini sağlıyor. Panel, 1 saniyelik kalp atışı mekanizmasıyla kurbanın MFA yöntemine (TOTP, push bildirimi, SMS OTP) göre akışı uyarlıyor. Kullanıcının girdiği kimlik bilgileri ve MFA kodları saldırgana iletilerek, saldırgan kurbanın hesabına erişiyor.

Kullanıcı, hesabına yeni bir passkey kaydettiğini zannederken aslında saldırganın kontrolündeki bir passkey kaydediliyor. Ardından sahte sayfada, kullanıcıdan bir BIP-39 kurtarma ifadesi kaydetmesi isteniyor. Oysa BIP-39 ifadelerinin gerçek Microsoft Entra passkey kaydında bir yeri yok. Bu, kullanıcıyı oyalamak için kullanılan bir taktik.

Pink, hesaba eriştikten sonra SharePoint ve OneDrive'dan veri sızdırıyor. 31 Mayıs'ta bir gasp sitesi kuran grup, çaldıkları verilerin örneklerini yayınlayarak kurbanları fidye ödemeye zorluyor. Okta, kuruluşlara yardım masası personelinin kimliğini doğrulamak için yöntemler geliştirmelerini ve hizmet verilmeyen konumlardan gelen talepleri reddetmelerini öneriyor.

Kaynak: bleepingcomputer.com

Paylaş: