Microsoft, özellikle hükümet, savunma, telekomünikasyon ve enerji sektörlerinde faaliyet gösteren kuruluşlara yönelik bir kimlik avı saldırı kampanyasının sürdüğünü duyurdu. Microsoft Threat Intelligence Center’a göre, bu saldırılar “Storm-2372” adı verilen ve Rusya ile bağlantılı olduğu düşünülen bir tehdit aktörü tarafından gerçekleştiriliyor.
Saldırı yöntemi: Sahte toplantılar ve mesajlaşma platformları üzerinden kandırma
Saldırganlar, cihaz kodu kimlik avı tekniğini kullanarak Microsoft 365 hesaplarına yetkisiz erişim sağlıyor. Bu yöntem, özellikle klavyesi veya tarayıcısı olmayan akıllı televizyonlar ve IoT cihazlarında kullanılan bir kimlik doğrulama akışını kötüye kullanıyor. Hedeflenen kullanıcılar, saldırganlar tarafından oluşturulan sahte cihaz kodlarını Microsoft’un resmi oturum açma sayfalarına girerek saldırganlara tam erişim izni veriyor.
Storm-2372 saldırganları, hedef kullanıcılarla doğrudan iletişime geçerek güvenlerini kazanıyor. WhatsApp, Signal ve Microsoft Teams gibi mesajlaşma platformlarını kullanarak kendilerini tanınmış kişiler gibi gösteriyorlar. Bir süre sohbet ettikten sonra, kurbana sahte bir çevrimiçi toplantı daveti gönderiliyor.
Bu toplantı davetinin içinde, Microsoft’un cihaz kodu kimlik doğrulama sistemine giriş yapmaları için özel bir kod yer alıyor. Hedef kişi bu kodu Microsoft’un gerçek oturum açma sayfasına girdiğinde, saldırganlar Microsoft 365 e-postalarına ve bulut depolama hizmetlerine erişim sağlayabiliyor.
Microsoft’un açıklamasına göre, saldırganlar yalnızca kimlik doğrulama sürecini ele geçirmekle kalmıyor, aynı zamanda Microsoft Authentication Broker istemci kimliği kullanarak yeni oturum açma belirteçleri (tokens) oluşturabiliyor. Bu da saldırganlara uzun süreli bir erişim sağlayarak organizasyonların dahili sistemlerinden veri çalmalarına olanak tanıyor.
Microsoft, Storm-2372’nin saldırılarından korunmak için şu önlemleri öneriyor:
- Cihaz kodu kimlik doğrulamasını devre dışı bırakın: Eğer gerekliyse, yalnızca güvenilir cihazlar ve ağlar için kullanılmasını sağlayan Koşullu Erişim Politikaları uygulayın.
- Şüpheli oturum açmaları izleyin: Microsoft Entra ID giriş kayıtlarını kontrol ederek kısa sürede yüksek hacimli giriş denemeleri olup olmadığını izleyin. Bilinmeyen IP adreslerinden yapılan oturum açma girişimlerini belirleyin.
- Hemen erişimi iptal edin: Cihaz kodu kimlik avı saldırılarından şüpheleniyorsanız, kullanıcının yenileme belirteçlerini iptal edin ve tüm oturumlarını sonlandırmak için ‘revokeSignInSessions’ komutunu kullanın.
Storm-2372’nin saldırıları, dünya genelinde önemli sektörleri hedef alarak organizasyonların hassas verilerini riske atıyor. Microsoft’un sunduğu güvenlik önerilerini uygulamak, bu tür tehditlere karşı en iyi savunma mekanizmalarından biri olarak öne çıkıyor.
