Hackerlar Hedef Aldı
Salı günü Microsoft, kuruluşların bulut ortamlarını ihlal etme ve e-posta çalmak için tasarlanmış phishing saldırılarının parçası olarak kötü amaçlı OAuth uygulamaları oluşturmak için kullanılan sahte Microsoft İş Ortağı Ağı (MPN) hesaplarını devre dışı bırakmak için adımlar attığını söyledi.
Teknoloji devi, “Siber korsanlar tarafından oluşturulan uygulamalar daha sonra kullanıcıları sahte uygulamalara izin vermeleri için phishing saldırıları sonrasında kullanıldı” dedi. “Bu phishing saldırıları, öncelikle İNGİLTERE ve İrlanda merkezli bir müşterileri hedef aldı.”
Phishing, kullanıcıların kötü amaçlı bulut uygulamalarına izin vermesi için kandırıldığı ve ardından meşru bulut hizmetlerine ve hassas kullanıcı verilerine erişmek için kullanılan bir sosyal mühendislik saldırısıdır.
Windows, 15 Aralık 2022’de kampanyadan haberdar olduğunu söyledi. O zamandan beri, etkilenen müşterileri e-posta yoluyla uyardı ve şirket, siber korsanlarının posta kutularını boşaltma kötüye kullandığını belirtti.
Bunun üzerine Microsoft, Microsoft Bulut İş Ortağı Programı (eski adıyla MPN) ile ilişkili inceleme sürecini iyileştirmek ve gelecekte hack saldırılarının potansiyelini en aza indirmek için ek güvenlik önlemleri aldığını söyledi.
Açıklamada, Proofpoint tarafından tehdit aktörlerinin kuruluşların bulut ortamlarına sızmak için Microsoft’un “doğrulanmış yayıncı” statüsünden nasıl başarıyla yararlandığına dair yayınlanan bir raporla anlattı.
Kampanyada dikkat çeken şey, popüler markaları taklit ederek, mavi doğrulanmış rozeti elde etmek için Microsoft’u kandırmakta da başarılı oldu. Şirket, “Oyuncu, Azure ad’de oluşturdukları OAuth uygulama kayıtlarına doğrulanmış bir yayıncı eklemek için hacklenmiş ortak hesapları kullandı” dedi.
İlk olarak 6 Aralık 2022’de gözlemlenen bu saldırılar, hedefleri aldatarak erişimi yetkilendirmek ve veri hırsızlığını kolaylaştırmak için Zoom gibi meşru uygulamaların benzer sürümlerini kullandı. Hedefler arasında finans, pazarlama, yöneticiler ve üst düzey yöneticiler vardı.
Proofpoint, kötü amaçlı OAuth uygulamalarının e-postaları okumak, posta kutusu ayarlarını yapma ve kullanıcının hesabına bağlı dosyalara ve diğer verilere erişme gibi “geniş kapsamlı yetkilendirilmiş izinlere” sahip olduğunu belirtti.
Ayrıca, mevcut Microsoft doğrulanmış, OAuth uygulama ayrıcalıklarından yararlanmalarını tehlikeye atan önceki bir siber saldırının aksine, en son saldırıların doğrulama ve sahte uygulamaları dağıtmak için meşru yayıncıların kimliğine bürünmek üzere tasarlandığını söyledi ve hackerlar hedef aldı diye açıkladı.
Önce ki haberimizi okumadıysanız kesinlikle okumanızı öneriyoruz.
İlgili Haber: Türk Hack Team İsveç’e Siber Savaş Açtı!
Kaynak: The Hacker News