Siber güvenlik firması Okta, yeni bir tehdit aktörünün (O-UNC-066) ses tabanlı sahte güvenlik talepleriyle Microsoft 365 kullanıcılarını hedef aldığını duyurdu. Saldırganlar, kullanıcıları arayarak sahte bir Entra passkey kaydı yapmaya ikna ediyor ve bu yolla hesaplara yetkisiz erişim sağlıyor. Hedef sektörler arasında gıda, teknoloji, sağlık, otomotiv, inşaat ve havacılık bulunuyor.
Saldırı, 'vishing' (sesli phishing) yöntemini kullanıyor. Tehdit aktörü, 'passkey' kelimesini içeren alan adları kaydediyor ve ardından hedef kullanıcıları telefonla arayarak yeni bir passkey kaydetmeleri gerektiğini söylüyor. Kullanıcılar, Microsoft'un resmi passkey kayıt sürecine benzer bir kimlik avı sayfasına yönlendiriliyor. Bu sayfada kullanıcı, kendi passkey'ini kaydettiğini zannederken aslında saldırganın passkey'ini hesabına ekliyor.
Okta araştırmacısı Houssem Eddine Bordjiba, tehdit aktörünün panel kontrollü bir kimlik avı kiti kullandığını belirtiyor. Bu kit, passkey kayıt sürecini taklit ediyor ve saldırganın gerçek zamanlı olarak kullanıcı deneyimini manipüle etmesine olanak tanıyor. Örneğin, kullanıcının çok faktörlü kimlik doğrulama (MFA) yöntemine göre (TOTP, SMS OTP, push bildirimi) sayfa içeriği değişiyor.
Detaylar ve Etkileri
Saldırı zinciri şu şekilde işliyor: İlk olarak, kimlik avı kiti (/gate) sayfası yüklenirken arka planda anti-analiz kontrolleri yapılıyor. Ardından kullanıcıdan kullanıcı adı (/identify) ve şifre (/password) isteniyor. Çalınan kimlik bilgileri bir POST isteğiyle saldırganın paneline (/backend.php) gönderiliyor. Saldırgan, bu bilgileri kullanarak hedef kullanıcının Microsoft oturum açma sayfasına giriş yapıyor.
Sonuç ve Değerlendirme
Kullanıcı, bir yükleme ekranı (/processing) görürken saldırgan, meşru MFA sürecini gözlemliyor. Ardından, kullanıcıya MFA türüne uygun bir sayfa gösteriliyor: SMS OTP için /submit-otp, TOTP için /submit-authenticator, push bildirimi için /approve-authenticator. Kullanıcının girdiği OTP tekrar saldırgan paneline gönderiliyor. Bu aşamada kullanıcı, telefon görüşmesi sırasında saldırganın hesabına erişimini onaylamış oluyor.
Son aşamada, kullanıcı passkey kaydına yönlendiriliyor: /passkey/register sayfasında passkey oluşturması isteniyor, ardından kurtarma anahtarı (/passkey) gösteriliyor ve son kelimeyi doğrulaması (/passkey/check) talep ediliyor. Son olarak /done sayfası kaydın başarılı olduğunu onaylıyor. Kurtarma anahtarı, kripto para cüzdanlarındaki 12 kelimelik ifadeye benziyor ve aslında kullanıcıyı oyalama amaçlı. Okta, bu kitin kullanıcıların passkey kimlik doğrulamasına aşina olmamasından faydalandığını belirtiyor. Saldırgan grubun Pink adlı bir veri sızıntısı sitesi işlettiği ve The Com adlı siber suç topluluğuyla bağlantılı olduğu ifade ediliyor.
Kaynak: thehackernews.com