Tehdit Aktörleri, Sofistike AiTM Kimlik Avı Kampanyasında SharePoint Hizmetlerinden Yararlanıyor

Microsoft Defender araştırmacıları, SharePoint dosya paylaşımı kötüye kullanımı yoluyla enerji sektörü kuruluşlarını hedef alan sofistike bir ortadaki düşman (AiTM) kimlik avı kampanyasını ortaya çıkardı. Çok aşamalı saldırı, birden fazla kullanıcı hesabını tehlikeye attı ve çeşitli kuruluşlarda yaygın iş e – postası uzlaşması (Bec) operasyonlarına dönüştü. Güvenilir Satıcı Aracılığıyla İlk Uzlaşma

Saldırı, güvenliği ihlal edilmiş güvenilir bir satıcının e – posta adresinden gönderilen kimlik avı e – postalarıyla başladı. Tehdit aktörleri, şüpheden kaçınmak için meşru belge paylaşım iş akışlarını taklit ederek kimlik doğrulaması gerektiren SharePoint URL'lerinden yararlandı. Saldırganlar, kurumsal ortamlarda her yerde bulunan ve genellikle geleneksel e – posta güvenlik filtrelerini atlayan Microsoft SharePoint ve OneDrive hizmetlerine olan yaygın güvenden yararlandı. AiTM kimlik avı saldırısı (kaynak: Microsoft)

Kurbanlar kötü amaçlı SharePoint bağlantılarına tıkladıktan ve sahte giriş sayfalarına kimlik bilgileri girdikten sonra, saldırganlar kullanıcı oturumlarına erişim sağladı. Tehdit aktörleri, gelen e – postaları silmek ve mesajları okundu olarak işaretlemek için hemen gelen kutusu kuralları oluşturdu ve güvenliği ihlal edilmiş hesapları izlerken gizliliği korudu. Bu taktik, mağdurların şüpheli etkinlikleri keşfetmesini veya güvenlik uyarıları almasını engelledi. İlk uzlaşmanın ardından saldırganlar, mağdur örgütün içindeki ve dışındaki kişilere 600 e – postayı aşan büyük bir kimlik avı kampanyası başlattı. Kampanya, ele geçirilmiş gelen kutularındaki son e – posta dizilerinden tanımlanan alıcıları hedef alarak saldırı yüzeyini önemli ölçüde genişletti. Saldırganlar, tespit edilmekten kaçınmak için teslim edilmemiş ve ofis dışı bildirimleri silerek mağdur posta kutularını aktif olarak izledi. Alıcılar şüpheli e – postaları sorguladığında, tehdit aktörleri konuşma dizilerini silmeden önce meşruiyeti yanlış bir şekilde doğrulamak için ele geçirilmiş hesaplardan yanıt verdi. Bu teknikler, mağdurları devam eden operasyonlardan habersiz tutarken kalıcılığın korunmasına yardımcı oldu.