16.8 C
İstanbul
15/04/2024
Image default
HaberlerSiber SaldırılarUncategorized

Watur Nue isimli tehdit aktörü C-Suite’in Office 365 Hesaplarına Oltalama yapılması hedefliyor!

Mart 2020’den itibaren bu yana 1000’den fazla şirketin işletme yöneticilerini hedef alan BEC (İş e-postasının ele geçirilmesi), Office 365 hesaplarında spear phishing (hedef odaklı oltalama) kullanıyor.

“Water Nue” isimli dolandırıcılar, finans yöneticilerinin hesaplarını hedefliyor. Oltalama e-postaları, kullanıcıları sahte Office 365 oturum açma sayfalarına yönlendiriyor. Kimlik bilgilerinin alınarak hesapların başarıyla ele geçirilmesin sonra, para transferi talepleri ile para çekebilmek amacıyla, banka bilgilerine sahip fatura belgelerini içeren e-postaları üst düzey çalışanlara gönderiyor.

Water Nue’nun aktivitelerini izleme

Üst düzey yöneticileri başarılı bir şekilde hedefleyebilmelerine rağmen teknik yeteneklerinin aslında yetersiz olduğu görülmektedir. Oltalama araçları basit olsa da (backdoors, truva atları ve diğer kötü amaçlı yazılımlar vs.) işlemlerini yürütmek için temel bulut hizmetlerinden yararlanmaktadırlar. Bulut hizmetlerinin kullanımı, hizmetlerin kendisinde barındırarak işlemlerini gizlemelerine olanak tanımaktadır ve forensics faaliyetlerini tespit etmeyi zorlaştırmaktadır. Bu taktiğin siber suçlular arasında daha yaygın hale geldiği görülmektedir.

Yapılan ilk incelemelere göre kimlik avı girişimlerinde farklı domainlerden çok büyük e-posta gruplarına oltalamaya kampanyasının yapıldığı görüldü. Bu gruplar içerisindeki alıcıların çoğunluğunun özellikle finans departmanındaki üst düzey yöneticiler olduğu görüldü. Karşılaşılan ilk vakalardan birisi, Afrika’da bulunan bir bankada çalışan kıdemli finans görevlisinin, iş arkadaşına Hong Kong’daki bir bankanın hesap bilgilerini içeren PDF şeklinde bir fatura gönderdiği iddia ediliyor. Bu e-postanın saldırganın daha önceden işlevselliğini test ettiği oltalama sitelerinden birine ait IP adresinden gönderildiği görülmüştür.

Bu kampanya, kullanılan domain isimleri sistemlerde rapor edildiğinde veya kara listeye (blacklisted) alındığında tehditin yeni altyapılara geçmesiyle devam ediyor.

Bu kampanyalar, kullanılan domain isimleri rapor edildiğinde veya kara listeye alındığında tehditin yeni alt yapılara geçmesi ile devam etmektedir.

Saldırganlar, hedefleri sahte Office 365 sayfasına yönlendiren ve tıklanabilir bir bağlantıya sahip e-postalar göndermek için SendGrid gibi bulut tabanlı e-posta dağıtım hizmetlerini kullanıyor. Hedef kullanıcı oturum açmaya çalıştığında, kimlik bilgileri basit bir PHP betiği aracılığıyla kaydediliyor.

Saldırganlar, kurbanları sahte Office 365 sayfalarına yönlendirebilmek ve tıklanabilir bir bağlantıya sahip e-postalar gönderebilmek için SendGrid gibi bulut tabanlı e-posta dağıtım hizmetlerini kullanmaktadır. (TrendMicro raporuna göre bu durumu SendGrid ile paylaştıkları gözükmektedir.) Hedef kullanıcı oturum açmaya çalıştığında, kimlik bilgileri basit bir PHP betiği aracılığıyla kaydedilmektedir.


Resim 1: Water Nue Saldırı Senaryosu
Resim 2: Kaydedilen kimlik bilgileri örneği

Tekniklerin yeni olmadığı görülse de saldırı girişimlerinin başarılı olduğu ve 800’den fazla şirket yöneticisinden kimlik bilgisi toplanıldığı görüldü.

Oltalama saldırıları için hesaplar nasıl hedeflenir?

Temmuz ayında C düzeyindeki bir yöneticiye gönderilen bir e-postada, temel alan URL’in U10450540[.]ct[.]sendgrid[.]net ve *getting-panes[.]sfo2*. olarak görülmektedir.


Resim 3: E-posta başlığı ” “from” ” domaini New York’u ve ” “Swiftme@{company domain names}” ifadesini gösteren çeşitli e-posta hesapları 

 “Swiftme”, oltalama saldırılarının başlıklarında ve sahte şirket e-posta etki alanlarına sahip hesap adlarında görülmektedir. Görüntülenen e-posta başlığı “gönderen/kimden” ve konu da bir sesli e-posta hizmeti gibi davrandığı da görülmektedir.


Resim 4: E-posta örneği

SendGrid platformunun X-Mailers’ı orijinal gibi görünmediğine dikkat edilmelidir. Farklı X-Mailer ve başlıklara sahip e-postalar, tarama motorlarının kafasını karıştırabilecek araçlar eklenebilir. İşte gözlemlenen bazı X-Mailers:


Resim 5: Phishing sitesi, Office 365 oturumunu benzer görüntüsü

Water Nue’nin test / dağıtım makinesinin kaynak IP’sine, toplanan kimlik bilgileri için oltalama sitesinin sunucusunda açık bir metin dosyası bırakıldı.


Resim 6: Site Haritası

Resim 7: Açılış sayfası index.html’nin sahte bir konuşma işlevi olduğu görülmektedir.

Resim 8: Fonksiyonel  işlevi app.js’de bulunurken, komut ve kontrol (C&C) konumu JavaScript kodu

Resim 9: jQuery yöntemi, hedefin kimlik bilgilerini istenilen sitelere göndermek için kullanılır.

Oltalama sayfaları, site ziyaretçileri tarafından girilen parolaları kaydeder. Güvenliği ihlal edilen kimlik bilgileri, hesaplarda başarılı bir şekilde oturum açmak için kullanıldıktan sonra, dolandırıcılar kendilerini yönetici olarak tanımlayabilmektedir. Ardından, e-posta sahiplerini kandırarak, dolandırıcıların hesaplarına para aktarılması için sahte bir banka havale isteği göndermektedirler.

Aynı IP’den gönderilen bir BEC (Business Email Compromise ) posta örneği incelendiğinde, BEC yabancı tedarikçilerle çalışan işletmeleri ve düzenli olarak banka havalesi ödemeleri yapan işletmeleri hedefleyen e-posta başlığına sahip bir fatura isteğidir.


Resim 10: Aynı kaynak IP’ye sahip e-posta örneği

Resim 11: BEC e-postasında örnek bir sahte PDF faturası

Kaynakça :

Kaynak 1 : http://www.sibergah.com/genel/internet-guvenligi/phishing-ve-spear-phishing-nedir/#:~:text=Klasik%20phishing%20sald%C4%B1r%C4%B1s%C4%B1ndan%20farkl%C4%B1%20olarak,forum%20gibi%20ortamlardaki%20mesajlar%C4%B1n%C4%B1%20incelerler.

Kaynak 2: https://www.hostinger.web.tr/rehberler/jquery-nedir/

Kaynak 3: https://sibersavascephesi.com/is-dunyasinin-salgini-business-e-mail-comprimise-ve-korunmak-icin-6-basit-yontem/#:~:text=BEC%20Nedir%3F,bir%20doland%C4%B1r%C4%B1c%C4%B1l%C4%B1k%20y%C3%B6ntemi%20olarak%20tan%C4%B1mlamaktad%C4%B1r.

 Kaynak 4: https://blog.trendmicro.com/trendlabs-security-intelligence/water-nue-campaign-targets-c-suites-office-365-accounts/

Kaynak 5 : https://www.natro.com/blog/standart-mail-x-mail-arasindaki-fark-nedir/

Related posts

İNGİLİZ HAVAYOLU ŞİRKETİNDE BÜYÜK VERİ SIZINTISI!

Mustafa Okay Maktav

Honda Ekans Ransomware ile Karşı Karşıya!

Mustafa Okay Maktav

ThiefBot Banking Trojan Zararlı Yazılım Analizi

Yeşim Alan

Bu web sitesi, kullanıcı deneyimini iyileştirmek amacıyla çerezler kullanmaktadır. Kabul Et Daha Fazlası