Siber saldırganlar, Microsoft 365 kullanıcılarını hedef alan yeni bir vishing (sesli kimlik avı) kampanyası başlattı. Okta güvenlik araştırmacıları tarafından O-UNC-066 kod adıyla takip edilen tehdit aktörü, sahte Microsoft Entra passkey kaydı sürecini kullanarak kurbanların M365 hesaplarını ele geçiriyor. Saldırı, gıda, teknoloji, sağlık, otomotiv, inşaat ve havacılık sektörlerini hedef alıyor. Hedefteki kullanıcılar, telefonla aranarak acil bir passkey kaydı yapmaları gerektiğine ikna ediliyor ve ardından özel olarak hazırlanmış bir phishing kitine yönlendiriliyor.
Okta araştırmacısı Houssem Eddine Bordjiba, saldırganın 'passkey' kelimesini içeren alan adları kaydettiğini ve bu alan adlarını vishing şemasının bir parçası olarak kullandığını belirtiyor. Kullanıcılar, gerçek Microsoft passkey kayıt sürecini birebir taklit eden bir phishing kiti ile karşılaşıyor. Ancak kullanıcı kendi passkey'ini kaydettiğini zannederken, aslında saldırgan kendi passkey'ini kurbanın Microsoft hesabına kaydediyor. Bu sayede saldırgan, hesaba yetkisiz erişim sağlıyor.
Bu saldırı, Microsoft'un passkey benimsemesini hızlandırmak için yöneticilere oturum açma sırasında passkey kaydı kampanyaları yapılandırma imkanı tanımasıyla aynı döneme denk geliyor. Saldırganlar, phishing'e dayanıklı bu güvenlik yükseltme sürecini bir tuzak olarak kullanıyor. Geleneksel AitM (adversary-in-the-middle) saldırılarından farklı olarak, bu phishing kiti bir PHP paneli üzerinden operatör tarafından kontrol ediliyor ve kurban neredeyse gerçek zamanlı olarak passkey kayıt sürecinden geçiriliyor.
Detaylar ve Etkileri
Phishing kitinin işleyişi şu şekilde: İlk sayfada (/gate) bir yükleme simgesi gösterilirken arka planda anti-analiz kontrolleri yapılıyor. İkinci sayfada (/identify) kullanıcı adı isteniyor, üçüncü sayfada (/password) şifre talep ediliyor. Toplanan bilgiler bir POST isteğiyle operatör paneline (/backend.php) gönderiliyor. Operatör, bu bilgileri kullanarak hedef kiracının gerçek Microsoft oturum açma sayfasına giriş yapıyor. Bu sırada kurban, /processing sayfasında bir yükleme ekranı görüyor ve operatörün MFA zorluklarına göre yönlendirmesini bekliyor. Ardından SMS OTP, TOTP veya push bildirimi gibi MFA yöntemlerine uygun sayfalar gösteriliyor ve girilen OTP'ler tekrar backend'e gönderiliyor.
Sistem Güvenliği
MFA aşaması başarıyla geçildikten sonra, saldırganın hesaba erişimi onaylanmış oluyor. Ardından passkey bahanesiyle yeni bir aşama başlıyor: Kurban /passkey/register sayfasına yönlendiriliyor ve bir passkey oluşturması isteniyor. Microsoft markalı /passkey sayfasında, kullanıcıdan kurtarma anahtarını kaydetmesi isteniyor. /passkey/check sayfasında tohum ifadedeki son kelimenin doğrulanması talep ediliyor ve /done sayfası passkey kaydının başarılı olduğunu onaylıyor. Kurtarma anahtarı, kripto para cüzdanlarındaki gizli kurtarma ifadesine benzer 12 kelimelik bir dizi içeriyor. Okta, bu adımın kurbanı oyalamak için bir dikkat dağıtma mekanizması olduğunu ve bu sırada saldırganın kendi passkey'ini Microsoft hesabına kaydettiğini belirtiyor.
Gelecekte Ne Bekleniyor?
Okta, bu phishing kitinin kullanıcıların passkey kimlik doğrulamasına aşina olmamasından faydalandığını vurguluyor. Gerçek bir passkey kayıt töreninde, kullanıcı cihazında bir sistem diyaloğu beklerken, bu kit passkey kaydı yapmadan süreci taklit ediyor. Palo Alto Networks Unit 42, aynı tehdit aktörünü CL-CRI-1147 kod adıyla takip ediyor ve bu grubun Scattered Spider, ShinyHunters ve LAPSUS$ gibi grupları içeren The Com adlı merkezi olmayan siber suç kolektifiyle bağlantılı olduğunu belirtiyor. Nisan 2026'dan itibaren faaliyet gösteren Pink adlı bir veri sızıntı sitesi de bu grupla ilişkilendiriliyor. Kullanıcıların, özellikle telefonla gelen ve acil işlem talep eden passkey kaydı çağrılarına karşı dikkatli olmaları, hiçbir zaman telefonla yönlendirilen bağlantılara tıklamamaları ve MFA ayarlarını yalnızca resmi kanallardan yapmaları öneriliyor.
Kaynak: thehackernews.com