Microsoft 365 kullanıcılarını hedef alan yeni bir kimlik avı hizmeti ortaya çıkarıldı. Cisco Talos araştırmacıları, “ARToken” adı verilen yeni phishing-as-a-service (PhaaS) platformunun EvilTokens altyapısıyla güçlü teknik benzerlikler taşıdığını belirledi. Araştırmaya göre platform, saldırganlara Microsoft 365 hesaplarını ele geçirmekten çalınan oturum belirteçlerini kalıcı hâle getirmeye kadar uzanan gelişmiş araçlar sunuyor.

Gelişmiş Araçlar Microsoft 365 Hesaplarını Hedef Alıyor

Cisco Talos, olay müdahalesi sırasında incelediği saldırı altyapısında React tabanlı bir yönetim paneli keşfetti. “ARToken Panel” olarak adlandırılan bu sistemde 80’den fazla API uç noktası bulunduğu tespit edildi. Yapılan tersine mühendislik çalışmaları, platformun sıradan bir kimlik avı kitinin ötesinde gelişmiş yeteneklere sahip olduğunu ortaya koydu.

Microsoft’un cihaz kodu kimlik doğrulama giriş formu

Araştırmaya göre saldırganlar çalınan Microsoft 365 kimlik doğrulama belirteçlerini kullanabiliyor, Primary Refresh Token (PRT) oluşturabiliyor ve böylece hesaplara uzun süre kalıcı erişim sağlayabiliyor. Platform ayrıca Outlook posta kutularına, SharePoint içeriklerine ve OneDrive dosyalarına erişim imkânı sunarken Cloudflare Workers altyapısı üzerinden kimlik avı sayfalarının otomatik olarak dağıtılmasını da destekliyor.

Cisco Talos, teknik analiz sırasında platformun EvilTokens ile aynı Microsoft OAuth 2.0 Device Authorization Grant akışını kullandığını belirledi. Araştırmacılar ayrıca PRT oluşturma, yenileme ve yeniden elde etmeye yönelik API uç noktalarının daha önce EvilTokens analizlerinde tespit edilen yapıyla büyük ölçüde örtüştüğünü ifade etti.

Yapay Zekâ Destekli Kimlik Avı Saldırıları Daha Otomatik Hâle Geliyor

EvilTokens platformu ilk kez bu yılın mart ayında siber güvenlik şirketi Sekoia tarafından belgelenmişti. Araştırmada platformun siber suçlulara kurulum ücreti ve aylık abonelik modeliyle sunulduğu belirtilmişti. Daha sonra yayınlanan analizlerde sistemin ele geçirilen e-posta kutularını yapay zekâ yardımıyla analiz ettiği, finansal riskleri belirlediği ve iş e-postası dolandırıcılığı saldırılarını otomatik olarak hazırlayabildiği ortaya çıkmıştı.

Microsoft da son dönemde cihaz kodu kimlik avı saldırılarındaki hızlı artış nedeniyle kurumları uyarmıştı. Bu yöntemde kurbanlar, Microsoft’un resmî cihaz doğrulama sayfasına gerçek bir cihaz kodu girmeye ikna ediliyor. Kimlik doğrulama işlemi Microsoft altyapısında gerçekleştiği için çok faktörlü kimlik doğrulama koruması devreye girmiş gibi görünse de erişim belirteçleri doğrudan saldırganlara teslim ediliyor.

Cisco Talos’un son araştırması, ARToken platformunun yalnızca hesap ele geçirmekle yetinmediğini gösteriyor. Saldırganlar ele geçirilen Outlook hesaplarından e-posta gönderebiliyor, gelen kutusu kuralları oluşturarak mesajları gizleyebiliyor, aynı anda birden fazla posta kutusunu belirli anahtar kelimeler açısından takip edebiliyor ve SharePoint ile OneDrive üzerindeki dosyaları yönetebiliyor. Araştırmacılar ayrıca saldırganların kurbanın bulunduğu konuma göre içeriği otomatik değişen kimlik avı sayfaları oluşturabildiğini de belirledi. Güvenlik uzmanları, Microsoft 365 kullanan kurumların cihaz kodu doğrulama isteklerini dikkatle incelemesini, OAuth izinlerini düzenli olarak denetlemesini ve olağan dışı oturum belirteci kullanımını sürekli izlemesini öneriyor.

ITSTACK Hakkında

ITSTACK sizlere Bilgi Teknolojileri konusunda uzman ekibi ile 24/7 hizmet vermek için hazır! Detaylı bilgi için bize ulaşın.