Bilgisayar Korsanları, Microsoft 365 Direct Send'i Dahili Kimlik Avı E-postalarını Göndermek İçin Kötüye Kullanıyor
Yeni bir Proofpoint raporu, saldırganların Microsoft 365'in Doğrudan Gönderme özelliğini ve güvenli olmayan SMTP aktarımlarını kullanarak şirket içi görünümlü kimlik avı e-postaları gönderdiğini ortaya koyuyor.
Siber güvenlik firması Proofpoint'in son araştırması, insanları kötü amaçlı e-postaları açmaya ikna etmek için meşru bir Microsoft 365 özelliğini kullanan akıllıca bir kimlik avı saldırısını ortaya koyuyor. Saldırının, şirket içinden geliyormuş gibi görünen mesajlar göndererek çalışanlara son derece güvenilir göründüğü bildiriliyor.
Proofpoint araştırmacıları, saldırganların Microsoft 365'te Doğrudan Gönderme adı verilen bir ayardan yararlandığını gözlemledi. Bu özellik, ofis yazıcıları gibi cihazların faks ve taramaları parola olmadan doğrudan bir e-posta gelen kutusuna göndermesi için tasarlanmıştır. Ancak bilgisayar korsanları, bu özelliği kuruluş içinden geliyormuş gibi görünen sahte e-postalar göndermek için kötüye kullanıyor. Bu, onların birçok olağan güvenlik kontrolünü atlatmalarına olanak tanıyor.
Kötü amaçlı saldırı, yükünü iletmek için karmaşık bir zincir kullanır. Aşağıdaki akış şemasında gösterildiği gibi, bir tehdit aktörü önce Windows Server 2022 çalıştıran bir bilgisayar sunucusuna bağlanır. Buradan, e-postaları bir sunucudan diğerine ileten bir hizmet olan SMTP röleleri gibi davranan üçüncü taraf e-posta güvenlik cihazları aracılığıyla bir e-posta gönderir. E-postalar meşru görünecek şekilde tasarlanmıştır ve gönderme altyapısı, güvenilir görünmek için geçerli DigiCert SSL sertifikaları bile sunar.
Ancak cihazların kendileri güvenliksiz bırakılmış ve belirli iletişim portları (8008, 8010 ve 8015) açığa çıkmıştı. Bu portlar yalnızca süresi dolmuş veya kendi kendine imzalanmış sertifikalarla korunuyordu ve bu da onları savunmasız hale getiriyordu.
Mesaj, sahte veya taklit bir "Kimden" adresiyle, bir iş arkadaşı tarafından gönderilmiş gibi görünecek şekilde tasarlanmıştır. Bu e-postalar genellikle iş temalıdır ve kullanıcıyı tıklamaya teşvik etmek için "görev hatırlatıcıları", "havale yetkilendirmeleri" ve "sesli mesajlar" gibi başlıklar kullanır. Bu mesajların bazıları Microsoft'un dahili güvenlik birimleri tarafından potansiyel bir sahte mesaj olarak işaretlense de, yine de kullanıcının önemsiz posta klasörüne gönderilir ve bu da onu saldırıya karşı savunmasız bırakır.
Proofpoint raporu, bu tür saldırıların, siber suçluların planlarını başlatmak için güvenilir bulut hizmetlerini kötüye kullandıkları giderek artan bir eğilimin parçası olduğunu vurguluyor. Araştırmacıların raporda belirttiği gibi, "Microsoft 365'in Doğrudan Gönderme özelliğinin kötüye kullanılması yalnızca teknik bir kusur değil. Bir kuruluşun güveni ve itibarı için stratejik bir risk."
Bu durum, şirketlerin güvenlik ayarlarını ve yapılandırmalarını yeniden değerlendirmelerini hayati önem taşıyor. Araştırmacılar, bu tür sahte mesajları engellemek için e-posta sistemlerini denetlemelerini ve daha sıkı e-posta kimlik doğrulaması uygulamalarını öneriyor. Ayrıca, bir kuruluşun ihtiyaç duymaması durumunda Doğrudan Gönderme özelliğinin devre dışı bırakılması da tavsiye ediliyor.
HackRead
