Siber güvenlik araştırmacıları, Microsoft 365 hesaplarını hedef alan Forg365 adlı yeni bir “Phishing-as-a-Service” (PhaaS) platformunu ortaya çıkardı. ZeroBEC tarafından yayımlanan analize göre platform, yapay zekâ destekli oltalama içerikleri, cihaz kodu kimlik avı ve Adversary-in-the-Middle (AiTM) saldırılarını tek altyapıda birleştirerek kurumsal hesapları ele geçirmeyi amaçlıyor. Araştırmacılar, saldırganların oturum çerezlerini uzun süre geçerli tutabilen özel bir tarayıcı eklentisi de kullandığını belirtiyor.

Yapay Zekâ Kimlik Avı Kampanyalarının Hazırlanmasını Kolaylaştırıyor

ZeroBEC araştırmacıları, incelemelerine kurumsal belge görünümünde hazırlanan kimlik avı e-postalarını analiz ederek başladı. Forg365 platformu, Amazon Simple Email Service (SES) üzerinden gönderilen e-postaları SendGrid altyapısındaki görseller ve izleme bileşenleriyle birleştirerek meşru kurumsal trafiğe benzer görünüm oluşturuyor. Yapay zekâ destekli oltalama e-postaları, saldırganların hedefe özel içerikleri çok daha kısa sürede hazırlayabilmesini sağlıyor.

Forg365 Ortaya Çıktı: Yapay Zekâ Destekli Yeni Kimlik Avı Platformu Microsoft 365 Hesaplarını Hedef Alıyor
Forg365 paneli

Araştırmacılar daha sonra Forg365 yönetim paneline erişerek platformun çalışma şeklini inceledi. Panel üzerinden kimlik avı kampanyaları oluşturulabiliyor, oltalama bağlantıları yönetilebiliyor, OAuth uygulamaları tanımlanabiliyor, SMTP yapılandırmaları yapılabiliyor ve yapay zekâ desteğiyle e-posta içerikleri üretilebiliyor. Yapay zekâ tabanlı içerik üretimi doğrudan saldırı paneline entegre edildiği için operatörler tüm süreci tek arayüz üzerinden yönetebiliyor.

Forg365 Ortaya Çıktı: Yapay Zekâ Destekli Yeni Kimlik Avı Platformu Microsoft 365 Hesaplarını Hedef Alıyor
Yapay zeka destekli e-posta içeriği oluşturma

Microsoft 365 Hesapları İki Farklı Yöntemle Ele Geçiriliyor

Forg365, iki temel saldırı tekniğini destekliyor. Cihaz kodu kimlik avı yöntemi, kullanıcıyı Microsoft’un gerçek doğrulama ekranına benzeyen sayfaya yönlendirerek saldırganın cihazını OAuth 2.0 doğrulama süreci üzerinden yetkilendirmesini sağlıyor. Kullanıcı parolasını paylaşmasa bile oturum izni saldırganın cihazına aktarılabiliyor.

Platform ayrıca AiTM kimlik avı tekniğini de kullanıyor. Adversary-in-the-Middle saldırısı sırasında sahte ara sunucu, Microsoft altyapısıyla kullanıcı arasındaki tüm kimlik doğrulama trafiğini yönlendiriyor. Oturum çerezi ele geçirme işlemi sayesinde saldırganlar çok faktörlü kimlik doğrulamayı aşarak doğrudan oturum erişimi elde edebiliyor. Son dönemde Microsoft 365 hesaplarını hedef alan gelişmiş saldırıların önemli bölümü bu yöntemi kullanıyor.

Forg365 Ortaya Çıktı: Yapay Zekâ Destekli Yeni Kimlik Avı Platformu Microsoft 365 Hesaplarını Hedef Alıyor
ForgCookie eklentisi

Forg365’in en dikkat çeken bileşenlerinden biri de ForgCookie adlı tarayıcı eklentisi oldu. Microsoft oturum çerezleri üzerinde çalışan bu araç; Google Chrome, Microsoft Edge ve Brave tarayıcılarını destekliyor. Tarayıcı eklentisi, mevcut oturum çerezlerini yenileyerek saldırganların yeniden kimlik doğrulaması yapmadan Microsoft hizmetlerine erişimini sürdürebilmesini sağlıyor.

Platform ayrıca ele geçirilen hesaplarda anahtar kelime takibi de yapabiliyor. Yönetim panelindeki izleme sistemi, belirlenen ifadeleri içeren yeni e-postalar geldiğinde saldırganlara otomatik bildirim gönderiyor. Böylece saldırganlar yalnızca hesap erişimi değil, sürekli veri takibi de gerçekleştirebiliyor.

Forg365 Ortaya Çıktı: Yapay Zekâ Destekli Yeni Kimlik Avı Platformu Microsoft 365 Hesaplarını Hedef Alıyor
Cihaz koduyla yapılan kimlik avı yöntemi

Güvenlik Uzmanları Microsoft 365 Yöneticilerini Uyardı

ZeroBEC, mümkün olan ortamlarda Microsoft cihaz kodu kimlik doğrulamasının sınırlandırılmasını veya devre dışı bırakılmasını öneriyor. Microsoft Entra günlüklerinde cihaz kodu oturum açma kayıtlarının düzenli incelenmesi, beklenmeyen OAuth yetkilendirmelerinin araştırılması ve yeni cihaz oturumlarının doğrulanması da önerilen güvenlik önlemleri arasında yer alıyor. Microsoft Entra günlükleri, kimlik doğrulama olaylarının izlenmesini sağlayan en önemli güvenlik kaynaklarından biri olarak kabul ediliyor.

Araştırmacılar ayrıca hesap ele geçirilmesinden şüphe duyulması durumunda tüm oturumların sonlandırılması, erişim belirteçlerinin iptal edilmesi ve yeni kimlik doğrulama belirteçlerinin oluşturulması gerektiğini vurguluyor. Yapay zekâ destekli PhaaS platformlarının yaygınlaşması, kurumsal kimlik avı saldırılarının daha düşük maliyetle hazırlanabilmesine ve daha geniş ölçekte yürütülebilmesine zemin hazırlıyor.

ITSTACK Hakkında

ITSTACK sizlere Bilgi Teknolojileri konusunda uzman ekibi ile 24/7 hizmet vermek için hazır! Detaylı bilgi için bize ulaşın.