Mart 2020’den itibaren bu yana 1000’den fazla şirketin işletme yöneticilerini hedef alan BEC (İş e-postasının ele geçirilmesi), Office 365 hesaplarında spear phishing (hedef odaklı oltalama) kullanıyor.
“Water Nue” isimli dolandırıcılar, finans yöneticilerinin hesaplarını hedefliyor. Oltalama e-postaları, kullanıcıları sahte Office 365 oturum açma sayfalarına yönlendiriyor. Kimlik bilgilerinin alınarak hesapların başarıyla ele geçirilmesin sonra, para transferi talepleri ile para çekebilmek amacıyla, banka bilgilerine sahip fatura belgelerini içeren e-postaları üst düzey çalışanlara gönderiyor.
Water Nue’nun aktivitelerini izleme
Üst düzey yöneticileri başarılı bir şekilde hedefleyebilmelerine rağmen teknik yeteneklerinin aslında yetersiz olduğu görülmektedir. Oltalama araçları basit olsa da (backdoors, truva atları ve diğer kötü amaçlı yazılımlar vs.) işlemlerini yürütmek için temel bulut hizmetlerinden yararlanmaktadırlar. Bulut hizmetlerinin kullanımı, hizmetlerin kendisinde barındırarak işlemlerini gizlemelerine olanak tanımaktadır ve forensics faaliyetlerini tespit etmeyi zorlaştırmaktadır. Bu taktiğin siber suçlular arasında daha yaygın hale geldiği görülmektedir.
Yapılan ilk incelemelere göre kimlik avı girişimlerinde farklı domainlerden çok büyük e-posta gruplarına oltalamaya kampanyasının yapıldığı görüldü. Bu gruplar içerisindeki alıcıların çoğunluğunun özellikle finans departmanındaki üst düzey yöneticiler olduğu görüldü. Karşılaşılan ilk vakalardan birisi, Afrika’da bulunan bir bankada çalışan kıdemli finans görevlisinin, iş arkadaşına Hong Kong’daki bir bankanın hesap bilgilerini içeren PDF şeklinde bir fatura gönderdiği iddia ediliyor. Bu e-postanın saldırganın daha önceden işlevselliğini test ettiği oltalama sitelerinden birine ait IP adresinden gönderildiği görülmüştür.
Bu kampanya, kullanılan domain isimleri sistemlerde rapor edildiğinde veya kara listeye (blacklisted) alındığında tehditin yeni altyapılara geçmesiyle devam ediyor.
Bu kampanyalar, kullanılan domain isimleri rapor edildiğinde veya kara listeye alındığında tehditin yeni alt yapılara geçmesi ile devam etmektedir.
Saldırganlar, hedefleri sahte Office 365 sayfasına yönlendiren ve tıklanabilir bir bağlantıya sahip e-postalar göndermek için SendGrid gibi bulut tabanlı e-posta dağıtım hizmetlerini kullanıyor. Hedef kullanıcı oturum açmaya çalıştığında, kimlik bilgileri basit bir PHP betiği aracılığıyla kaydediliyor.
Saldırganlar, kurbanları sahte Office 365 sayfalarına yönlendirebilmek ve tıklanabilir bir bağlantıya sahip e-postalar gönderebilmek için SendGrid gibi bulut tabanlı e-posta dağıtım hizmetlerini kullanmaktadır. (TrendMicro raporuna göre bu durumu SendGrid ile paylaştıkları gözükmektedir.) Hedef kullanıcı oturum açmaya çalıştığında, kimlik bilgileri basit bir PHP betiği aracılığıyla kaydedilmektedir.
Resim 1: Water Nue Saldırı Senaryosu
Tekniklerin yeni olmadığı görülse de saldırı girişimlerinin başarılı olduğu ve 800’den fazla şirket yöneticisinden kimlik bilgisi toplanıldığı görüldü.
Oltalama saldırıları için hesaplar nasıl hedeflenir?
Temmuz ayında C düzeyindeki bir yöneticiye gönderilen bir e-postada, temel alan URL’in U10450540[.]ct[.]sendgrid[.]net ve *getting-panes[.]sfo2*. olarak görülmektedir.
Resim 3: E-posta başlığı ” “from” ” domaini New York’u ve ” “Swiftme@{company domain names}” ifadesini gösteren çeşitli e-posta hesapları
“Swiftme”, oltalama saldırılarının başlıklarında ve sahte şirket e-posta etki alanlarına sahip hesap adlarında görülmektedir. Görüntülenen e-posta başlığı “gönderen/kimden” ve konu da bir sesli e-posta hizmeti gibi davrandığı da görülmektedir.
Resim 4: E-posta örneği
SendGrid platformunun X-Mailers’ı orijinal gibi görünmediğine dikkat edilmelidir. Farklı X-Mailer ve başlıklara sahip e-postalar, tarama motorlarının kafasını karıştırabilecek araçlar eklenebilir. İşte gözlemlenen bazı X-Mailers:
Resim 5: Phishing sitesi, Office 365 oturumunu benzer görüntüsü
Water Nue’nin test / dağıtım makinesinin kaynak IP’sine, toplanan kimlik bilgileri için oltalama sitesinin sunucusunda açık bir metin dosyası bırakıldı.
Resim 6: Site Haritası
Resim 7: Açılış sayfası index.html’nin sahte bir konuşma işlevi olduğu görülmektedir.
Resim 8: Fonksiyonel işlevi app.js’de bulunurken, komut ve kontrol (C&C) konumu JavaScript kodu
Resim 9: jQuery yöntemi, hedefin kimlik bilgilerini istenilen sitelere göndermek için kullanılır.
Oltalama sayfaları, site ziyaretçileri tarafından girilen parolaları kaydeder. Güvenliği ihlal edilen kimlik bilgileri, hesaplarda başarılı bir şekilde oturum açmak için kullanıldıktan sonra, dolandırıcılar kendilerini yönetici olarak tanımlayabilmektedir. Ardından, e-posta sahiplerini kandırarak, dolandırıcıların hesaplarına para aktarılması için sahte bir banka havale isteği göndermektedirler.
Aynı IP’den gönderilen bir BEC (Business Email Compromise ) posta örneği incelendiğinde, BEC yabancı tedarikçilerle çalışan işletmeleri ve düzenli olarak banka havalesi ödemeleri yapan işletmeleri hedefleyen e-posta başlığına sahip bir fatura isteğidir.
Resim 10: Aynı kaynak IP’ye sahip e-posta örneği
Resim 11: BEC e-postasında örnek bir sahte PDF faturası
Kaynakça :
Kaynak 2: https://www.hostinger.web.tr/rehberler/jquery-nedir/
Kaynak 5 : https://www.natro.com/blog/standart-mail-x-mail-arasindaki-fark-nedir/
