Sahte Microsoft Entra Passkey Kaydı ile M365 Hesapları Ele Geçiriliyor: Vishing Tuzaklarına Dikkat Yazılım

Sahte Microsoft Entra Passkey Kaydı ile M365 Hesapları Ele Geçiriliyor: Vishing Tuzaklarına Dikkat

Tehdit aktörleri, Microsoft 365 kullanıcılarını sahte telefon aramalarıyla kandırarak Entra passkey kaydı yapmaya ikna ediyor ve hesapları ele geçiriy

Siber güvenlik araştırmacıları, Microsoft 365 kullanıcılarını hedef alan sofistike bir vishing (sesli kimlik avı) kampanyasını gün yüzüne çıkardı. Okta tarafından O-UNC-066 olarak izlenen tehdit grubu, sahte Microsoft Entra passkey kaydı sürecini kullanarak çok sektörlü kuruluşlara sızıyor. Gıda, teknoloji, sağlık, otomotiv, inşaat ve havacılık gibi kritik sektörlerde faaliyet gösteren şirketlerin hedef alındığı belirtiliyor. Saldırganlar, telefonla aradıkları kullanıcılara güvenlik güncellemesi bahanesiyle yeni bir passkey kaydetmeleri gerektiğini söylüyor ve onları sahte bir Microsoft giriş sayfasına yönlendiriyor.

Okta araştırmacısı Houssem Eddine Bordjiba'ya göre, saldırganlar 'passkey' kelimesini içeren alan adları kaydediyor ve bu alan adlarını vishing altyapısı olarak kullanıyor. Kullanıcılar, Microsoft'un gerçek passkey kayıt sayfasına tıpatıp benzeyen bir phishing kiti ile karşılaşıyor. Ancak burada yapılan işlem, kullanıcının kendi hesabına passkey eklemesi değil; tam tersine, saldırganın kendi passkey'ini kurbanın Microsoft hesabına kaydetmesi oluyor. Bu sayede saldırgan, hesaba kalıcı ve yetkili erişim elde ediyor.

Saldırının zamanlaması da oldukça dikkat çekici: Microsoft, kuruluşların passkey benimsemesini hızlandırmak için yöneticilere oturum açma sırasında kullanıcıları passkey kaydına yönlendiren kampanyalar yapılandırma imkanı sunuyor. Tehdit aktörleri, bu meşru süreci bir kılıf olarak kullanarak phishing saldırılarına meşruiyet kazandırıyor. Klasik AitM (adversary-in-the-middle) saldırılarından farklı olarak bu kit, operatör kontrollü bir PHP paneli üzerinden çalışıyor ve kurbanı neredeyse gerçek zamanlı olarak passkey kayıt sürecinden geçiriyor.

Sonuç ve Değerlendirme

Phishing kiti, kurbanın MFA (çok faktörlü kimlik doğrulama) gereksinimlerine göre dinamik olarak uyum sağlıyor. Örneğin, SMS tabanlı tek kullanımlık şifre (OTP), zaman tabanlı OTP veya push bildirimi gibi farklı MFA yöntemlerine göre sayfalar sunuluyor. Operatör, kurbanın karşısına hangi sayfanın çıkacağını gerçek zamanlı olarak kontrol edebiliyor. Saldırı zinciri şu şekilde işliyor: İlk aşamada kurban /gate sayfasında bir yüklenme ekranı görürken arka planda anti-analiz kontrolleri yapılıyor. Ardından /identify sayfasında kullanıcı adı, /password sayfasında şifre isteniyor. Çalınan kimlik bilgileri /backend.php adresine POST isteği ile gönderiliyor.

Sistem Güvenliği

Phishing kiti operatörü (telefondaki kişiden farklı olabilir), ele geçirdiği kimlik bilgilerini hedef kiracının meşru Microsoft giriş sayfasında kullanıyor. Bu sırada kurban /processing sayfasında bekletiliyor. Operatör, meşru akışta karşılaştığı MFA zorluklarına göre kurbanı yönlendiriyor: SMS OTP için /submit-otp, zaman tabanlı OTP için /submit-authenticator veya push MFA için /approve-authenticator sayfaları gösteriliyor. Kurbanın girdiği OTP, yine /backend.php'ye gönderiliyor. Bu noktada kurban, telefonla kandırılarak saldırganın M365 hesabına erişimini onaylamış oluyor.

Saldırının ikinci aşaması passkey bahanesi etrafında dönüyor. Kurban, /passkey/register sayfasına yönlendirilerek bir passkey oluşturması isteniyor. Microsoft markalı /passkey sayfasında, kullanıcıdan passkey'ini onaylamak için bir kurtarma anahtarı kaydetmesi isteniyor. /passkey/check sayfasında, kurtarma ifadesindeki son kelimenin doğrulanması gerekiyor. Son olarak /done sayfası, passkey kaydının başarılı olduğunu bildiriyor. Ancak bu kurtarma anahtarı, aslında kripto para cüzdanlarında kullanılan gizli kurtarma ifadesine benzer 12 kelimelik bir diziden oluşuyor. Okta, bu adımın bir dikkat dağıtma mekanizması olduğunu; kurban meşgul edilirken saldırganın kendi passkey'ini Microsoft hesabına kaydettiğini belirtiyor.

Okta, bu phishing kitinin passkey kimlik doğrulamasına aşina olmayan kullanıcıları hedef aldığını vurguluyor. Gerçek bir passkey kayıt töreninde, kullanıcının cihazında bir sistem diyaloğu açılırken, bu kit sadece süreci taklit ediyor. Okta, O-UNC-066 ile bağlantılı bir tehdit aktörünün Nisan 2026'dan beri 'Pink' adında bir veri sızıntı sitesi işlettiğini tespit etti. Palo Alto Networks Unit 42, bu kümeyi CL-CRI-1147 olarak izliyor ve Scattered Spider, ShinyHunters ile LAPSUS$ gruplarını da içeren merkezi olmayan siber suç topluluğu 'The Com' ile ilişkilendiriyor.

Detaylar ve Etkileri

Bu saldırı türüne karşı alınabilecek önlemler arasında, kullanıcıların passkey kaydı gibi hassas işlemler için asla telefonla yönlendirilmemesi gerektiği, tüm passkey kayıtlarının doğrudan Microsoft'un resmi uygulaması veya ayarları üzerinden yapılması, ve şüpheli aramalarda kimlik doğrulama taleplerinin hemen reddedilmesi yer alıyor. Kuruluşlar ayrıca, MFA bildirimlerinde sayı eşleştirme gibi ek doğrulama adımlarını zorunlu kılmalı ve kullanıcıları bu tür sosyal mühendislik taktikleri konusunda düzenli olarak eğitmelidir.

Kaynak: thehackernews.com

Paylaş: