Rus Hackerlar, Microsoft 365 Hesaplarını Ele Geçirmek İçin OAuth 2.0 Açığını Kullandı

Volexity’nin yeni raporuna göre, Rusya bağlantılı siber saldırganlar, Microsoft 365 hesaplarını ele geçirmek için yasal OAuth 2.0 kimlik doğrulama sürecini kötüye kullanıyor. Bu saldırılar, özellikle Ukrayna ile bağlantılı kişi ve kuruluşları hedef alıyor.

Sahte Diplomatlar Üzerinden Sosyal Mühendislik Saldırıları Gerçekleştiriliyor

Saldırganlar, Avrupa ülkelerinden siyasi yetkililer ya da Ukraynalı diplomatlar gibi davranarak, hedeflerle WhatsApp ve Signal üzerinden iletişime geçiyor. Kişileri, video toplantı davetleri bahanesiyle kandırmaya çalışıyor. Mesajda, toplantıya katılım için Microsoft yetkilendirme kodu gerektiği belirtiliyor ya da kötü amaçlı bağlantılar gönderiliyor.

Volexity araştırmacıları, mart ayının başından bu yana bu tür saldırıların arttığını bildiriyor. Şubat ayında benzer bir kampanyanın yürütüldüğü ve bu kampanyanın Microsoft ile birlikte tespit edildiği hatırlatılıyor. Her iki saldırının da Rusya ile bağlantılı UTA0352 ve UTA0355 isimli gruplar tarafından gerçekleştirildiği belirtiliyor.

Saldırıların ilk adımı, hedef kişiye gönderilen bir mesajla başlıyor. Bazı durumlarda bu mesajlar, ele geçirilmiş Ukrayna devlet kurumlarına ait hesaplardan geliyor. Saldırganlar, hedef kişilere PDF formatında toplantı talimatları gönderiyor. Bu belgelerde, Microsoft oturum açma ekranına yönlendiren özel bir bağlantı yer alıyor.

Hedef kişi bu bağlantıya tıkladığında, tarayıcıda Visual Studio Code arayüzü açılıyor. Sayfa, Microsoft 365 OAuth süreciyle çalışıyor ve kullanıcıyı yetkilendirme kodu girme ekranına yönlendiriyor. Saldırganlar, bu kodun toplantıya katılım için gerekli olduğunu söyleyerek hedef kişinin kendilerine bu kodu iletmesini sağlıyor.

Ancak bu kod, 60 gün geçerliliğe sahip olup saldırganlara, kullanıcının Microsoft 365 hesabındaki tüm kaynaklara erişim izni sağlıyor. Volexity’ye göre, sahte Visual Studio Code sayfası özellikle bu kodu kolayca almak için tasarlanmış.

UTA0355’in yürüttüğü nisan ayındaki kampanyada, saldırganlar ele geçirdikleri kodları kullanarak kurbana ait Microsoft Entra ID sistemine (eski adıyla Azure Active Directory) yeni bir cihaz kaydediyor. Daha sonra, iki aşamalı doğrulama kodunun onaylanmasını sağlamak için kurbanı, SharePoint erişimi bahanesiyle ikna ediyor.

İlgili kodun onaylanmasının ardından saldırganlar yalnızca e-posta ve dosyalara erişmekle kalmıyor, aynı zamanda bu cihazla kalıcı erişim elde ediyor. Kayıt işleminden sonraki gün, e-posta verilerine erişimin sağlandığı tespit ediliyor. Volexity, bu tür saldırılara karşı şu önlemleri öneriyor:

• Visual Studio Code istemcisine ait client_id ile yapılan oturum açmalara dair uyarılar oluşturun.
• insiders.vscode.dev ve vscode-redirect.azurewebsites.net adreslerine erişimi engelleyin.
• Sadece onaylı cihazlara izin veren koşullu erişim ilkeleri oluşturun.

Bu tür saldırılar, kullanıcıları sosyal mühendislik yoluyla kandırarak yüksek yetkili erişimlerin ele geçirilmesini amaçlıyor. Özellikle Microsoft 365 kullanıcılarının, gelen bağlantılara ve yetkilendirme isteklerine karşı dikkatli olması gerekiyor.