ARToken platformu, EvilTokens'un Microsoft 365 kimlik avı altyapısını ve gelişmiş saldırı araçlarını ortaya çıkardı
Cisco Talos araştırmacıları, ARToken adlı yeni bir phishing-as-a-service (PhaaS) platformunun EvilTokens altyapısıyla bağlantılı olduğunu ortaya koydu. Araştırmaya göre platform, Microsoft 365 hesaplarını ele geçirmek, kalıcı erişim sağlamak ve iş e-postası dolandırıcılığı (BEC) saldırılarını otomatikleştirmek için kapsamlı araçlar sunuyor.
Cisco Talos araştırmacıları, ARToken adı verilen yeni bir Phishing-as-a-Service (PhaaS) platformunun, yılın başlarında ortaya çıkarılan EvilTokens kimlik avı hizmetiyle güçlü teknik benzerlikler taşıdığını açıkladı. Araştırmacılar, platformun Microsoft 365 hesaplarını ele geçirmek ve kurumsal sistemlerde kalıcı erişim elde etmek amacıyla geliştirilen kapsamlı bir araç seti sunduğunu belirtti.
Cisco Talos, bir olay müdahalesi incelemesi sırasında tespit ettiği altyapıda React tabanlı ARToken Panel isimli yönetim panelini analiz etti. Yapılan tersine mühendislik çalışmasında platformun 80'den fazla API uç noktası içerdiği ve daha önce belgelenmemiş birçok gelişmiş özelliğe sahip olduğu ortaya çıktı.
Microsoft 365 hesaplarında kalıcı erişim sağlıyor
Araştırmaya göre ARToken, saldırganların Microsoft 365 kimlik doğrulama belirteçlerini (authentication tokens) ele geçirmesine, Primary Refresh Token (PRT) kullanarak kalıcı erişim oluşturmasına ve Outlook, SharePoint ile OneDrive verilerine ulaşmasına imkân tanıyor.
Platform ayrıca Cloudflare Workers üzerinden kimlik avı altyapısı kurma ve Business Email Compromise (BEC) saldırılarının birçok aşamasını otomatikleştirme araçlarını da içeriyor.
Cisco Talos, "Çok sayıda teknik benzerlik ARToken'un, daha önce tespit edilen EvilTokens platformuyla bağlantılı olduğunu güçlü şekilde gösteriyor." değerlendirmesinde bulundu.
Araştırmacılar, ARToken'un Microsoft Device Code Authentication akışında EvilTokens ile aynı API çağrılarını kullandığını ve daha önce belgelenen POST /api/device/start isteğinin birebir aynı olduğunu tespit etti.
Talos ayrıca, Primary Refresh Token oluşturma, yenileme ve süresi dolduktan sonra yeniden alma işlemlerinde kullanılan API uç noktalarının da Sekoia tarafından daha önce EvilTokens için belgelenen altyapıyla örtüştüğünü belirtti.
MFA'yı aşan kimlik avı yöntemi
EvilTokens altyapısı ağırlıklı olarak Microsoft'un OAuth 2.0 Device Authorization Grant mekanizmasını hedef alan device code phishing yöntemini kullanıyor.
Bu yöntemde saldırganlar, mağdurları Microsoft'un resmi cihaz oturum açma sayfasına yönlendirerek kendilerine gönderilen gerçek cihaz kodunu girmelerini sağlıyor. Kimlik doğrulama Microsoft'un resmî altyapısı üzerinden gerçekleştiği için saldırganlar, çok faktörlü kimlik doğrulama (MFA) korumalarını da aşabiliyor.
Sekoia, Mart ayında yayımladığı araştırmada EvilTokens'un siber suçlulara 1.500 dolar kurulum ücreti ve 500 dolar aylık abonelik karşılığında sunulan ticari bir hizmet olduğunu açıklamıştı.
Daha sonraki araştırmalarda platformun, ele geçirilen e-posta kutularını yapay zekâ ile analiz ederek finansal risk değerlendirmesi yaptığı, büyük dil modellerini (LLM) kullanarak BEC saldırı metinleri hazırladığı ve farklı dillerdeki e-postaları otomatik çevirdiği ortaya konulmuştu.
Kurumsal e-posta dolandırıcılığı için kapsamlı araçlar
Cisco Talos'un analizine göre ARToken, hesap ele geçirildikten sonra saldırganlara tam kapsamlı kurumsal e-posta dolandırıcılığı araçları sunuyor.
Platform sayesinde saldırganlar ele geçirilen kullanıcı adına e-posta gönderebiliyor, gelen kutusu kuralları oluşturarak mesajları otomatik yönlendirebiliyor veya gizleyebiliyor, aynı anda çok sayıda posta kutusunu belirli anahtar kelimeler açısından takip edebiliyor ve e-posta eklerini indirebiliyor.
Araştırmacılar ayrıca saldırganların SharePoint ve OneDrive üzerindeki dosyaları görüntüleyebildiğini, indirebildiğini, yükleyebildiğini ve yönetebildiğini, bunun da veri hırsızlığı ve ek zararlı yazılım saldırıları için kullanılabildiğini belirtti.
Yeni özellikler de ortaya çıktı
Talos, ARToken'un daha önce EvilTokens araştırmalarında yer almayan bazı özelliklerini de ortaya çıkardı.
Buna göre saldırganlar, farklı kaynaklardan çalınan erişim belirteçlerini sisteme yükleyebiliyor, ele geçirilen hesaplara erişimi diğer saldırganlarla paylaşabiliyor ve mağdurun bulunduğu konuma göre içeriği otomatik değişen kimlik avı sayfaları oluşturabiliyor.
Ayrıca gelen kutusu kuralları oluşturarak belirli e-postaları sessizce silebiliyor veya gizleyerek faaliyetlerini fark edilmeden sürdürebiliyor.
Cisco Talos'un analiz ettiği kimlik avı e-postalarında saldırganların özellikle fatura temalı mesajlarla muhasebe ve ödeme birimlerinde çalışan kişileri hedef aldığı görüldü. E-postalarda görünen bağlantılar meşru SharePoint adresi izlenimi verirken, kullanıcılar gerçekte saldırganların Microsoft 365 ortamında oluşturduğu sahte sayfalara yönlendiriliyor.
Öte yandan Push Security, nisan ayında yayımladığı raporda device code phishing saldırılarının son bir yılda 37 kat arttığını ve en az 11 farklı kimlik avı kitinin bu yöntemi siber suçlulara sunduğunu açıklamıştı.
Kaynak: Beykozun Sesi
Tepkiniz Nedir?
Beğenmek
0
Beğenmemek
0
Aşk
0
Eğlenceli
0
Sinirli
0
Üzgün
0
Vay
0