Siber güvenlik firması Okta, Microsoft 365 kullanıcılarını hedef alan yeni bir vishing (sesli kimlik avı) kampanyası konusunda uyarıda bulundu. Nisan ayında başlayan kampanyada, saldırganlar kurbanları arayarak sahte Microsoft Entra ID giriş sayfalarına yönlendiriyor ve yeni bir passkey (geçiş anahtarı) kaydetmeleri gerektiğini söylüyor. O-UNC-066 (ayrıca CL-CRI-1147 ve Pink olarak da biliniyor) kod adı verilen tehdit grubu, otomotiv, havacılık, inşaat, gıda ve içecek, sağlık ve teknoloji sektörlerindeki kuruluşları hedef alıyor. Amaçları ise veri gaspı.
Okta'nın raporuna göre, saldırganlar 'passkey' kelimesini içeren alan adları kaydediyor ve kurbanları Microsoft'un passkey kayıt sürecini birebir taklit eden sayfalara yönlendiriyor. Bu sayfalar, kurbanın Microsoft hesabına passkey kaydettiğini düşünmesini sağlarken, aslında saldırgan kendi passkey'ini kurbanın hesabına kaydediyor. Sahte Microsoft Entra ID giriş sayfaları, her kurban için özelleştirilmiş olup meşru marka öğeleri kullanılarak Microsoft'un içerik dağıtım ağından (CDN) yükleniyor.
Diğer kimlik avı kitlerinden farklı olarak, bu kampanyada kullanılan PHP paneli operatör tarafından kontrol ediliyor ve otomatik olarak kimlik bilgilerini, çok faktörlü kimlik doğrulama (MFA) token'larını veya oturum token'larını toplamıyor. Bunun yerine, tehdit aktörü kurbanı neredeyse gerçek zamanlı olarak birden fazla kimlik doğrulama aşamasından geçiriyor ve sayfanın içeriğini MFA gereksinimlerine göre uyarlıyor. Okta, bu yöntemle saldırganın kullanıcı hesabını ele geçirdiğini ve kullanıcıyı saldırgan tarafından başlatılan passkey kaydını onaylamaya ikna ettiğini belirtiyor.
Nasıl Önlem Alınmalı?
Saldırının çeşitli aşamalarında, kimlik avı sayfaları anti-analiz kontrolleri yapıyor, kullanıcı adını federasyon kimlik sağlayıcısına yönlendirmeden istiyor ve şifreyi gerçek zamanlı olarak operatörün kurbanın hesabına erişmek için kullanacağı şekilde talep ediyor. Ardından, kurban bir işlem sayfası görürken operatör hesaba giriş yaparak hangi MFA türünün etkin olduğunu gözlemliyor ve kurbana SMS OTP, TOTP veya push MFA seçeneklerinden hangisinin gösterileceğini belirliyor.
Uzmanların Görüşleri
Kampanyanın tuzağına uygun olarak, saldırgan daha sonra kullanıcıyı bir passkey kayıt sayfasına yönlendiriyor. Bu sayfada kurban, saldırganın kontrolündeki BIP-39 ifadeleri listesinden bir kurtarma anahtarı kaydetmeye zorlanıyor. Ardından, kurbandan tohum ifadesinde kullanılan son kelimeyi doğrulaması isteniyor. Okta, bu adımın gerçek bir passkey kaydı sürecinde olmayan bir uygulama olduğunu ve saldırganın bu adımı bir dikkat dağıtma amaçlı kullandığını belirtiyor.
Gelecekte Ne Bekleniyor?
Okta, BIP-39 tohum ifadelerinin Microsoft Entra'da doğrudan bir uygulaması olmadığını ve saldırganın bu adımı bir dikkat dağıtma olarak kullandığını vurguluyor. Bu arada, saldırgan tarafından kontrol edilen passkey'ler kurbanın hesabına kaydediliyor. Kurban, Microsoft'tan hesabına yeni bir passkey kaydedildiğine dair meşru bir e-posta alıyor, ancak bu passkey aslında saldırgan tarafından kaydedildiği için saldırgan passkey'e zararsız bir isim verebiliyor. Bu durum, kullanıcıların passkey kimlik doğrulamasına yeterince aşina olmamasından kaynaklanan bir açığı ortaya koyuyor.
Kaynak: securityweek.com