Kullanıcıları Microsoft 365 hesaplarına erişim için sahte passkey (anahtar) kayıt sayfalarına yönlendiren yeni bir oltalama kampanyası ortaya çıktı. Bu saldırı, özellikle yiyecek ve içecek, teknoloji, sağlık, otomotiv, inşaat ve havacılık sektörlerindeki kurumsal kullanıcıları hedef alıyor.
Saldırının İşleyişi ve Teknik Detaylar
Tehdit aktörü, “O-UNC-066” kod adıyla izlenen ve Okta tarafından takip edilen grup, sesli oltalama (vishing) yöntemiyle hedef kullanıcıları arayarak yeni bir passkey kaydetmeleri gerektiği yalanını söylüyor. Kullanıcılar, Microsoft’un resmi passkey kayıt sürecine çok benzeyen sahte bir web sitesine yönlendiriliyor. Ancak burada aslında saldırgan, kendi oluşturduğu passkey’i kurbanın Microsoft hesabına kaydederek yetkisiz erişim sağlıyor.
Bu oltalama kiti, PHP tabanlı operatör kontrollü bir panelden yönetiliyor ve kurbanın çok faktörlü kimlik doğrulama (MFA) süreçlerine göre gerçek zamanlı olarak sayfa içeriği ve bildirimler değiştirilebiliyor. Yani saldırgan, SMS OTP, TOTP veya push tabanlı MFA yöntemlerine adapte olabiliyor. Bu yapı, saldırının klasik kimlik bilgisi ve MFA tokeni çalma yöntemlerinden ayrılıyor.
Saldırı Zinciri ve Kullanıcıların Aldatılması
İlk aşamada kullanıcıdan kullanıcı adı ve şifre talep ediliyor; elde edilen bilgiler saldırgan tarafından Microsoft giriş sayfasında kullanılıyor. Ardından, MFA doğrulama adımları sahte sayfalarda sunuluyor ve kurban telefonla ikna edilerek onay vermesi sağlanıyor. Onay sonrası kullanıcı, passkey oluşturma sürecine yönlendiriliyor. Burada, kurtarma anahtarı denilen 12 kelimelik bir ifade kullanıcıya gösteriliyor ve bu aşama, kullanıcının dikkatini dağıtmak için kurgulanmış bir oyalama olarak değerlendiriliyor. Aslında passkey, saldırganın kontrolünde hesaba eklenmiş oluyor.
Bu gelişme, Microsoft’un yöneticilere kullanıcıları oturum açarken passkey kaydetmeye teşvik etme imkanı sunan yeni bir kayıt kampanyası yapılandırma özelliği ile eş zamanlı gerçekleşti. Tehdit aktörleri, bu güvenlik yükseltmesini suistimal ederek kendi passkey’lerini kurban hesaplarına ekliyor.
Tehdit Grubu ve Siber Suç Bağlantıları
Analizler, bu saldırıların “Pink” adlı veri sızıntı sitesini işleten ve “The Com” adlı merkezi olmayan siber suç grubuyla bağlantılı O-UNC-066 kod adlı tehdide ait olduğunu gösteriyor. Bu grup, bilinen diğer tehdit aktörleri Scattered Spider, ShinyHunters ve LAPSUS$ ile aynı kolektif içinde yer alıyor.
Siber Güvenlik Ekiplerine Öneriler
Bu tür gelişmiş oltalama yöntemlerine karşı kurumların öncelikle kullanıcı eğitimine ağırlık vermesi gerekiyor. Ayrıca, IAM (Kimlik ve Erişim Yönetimi) çözümlerinde anormal passkey kayıtları ve MFA onayları için log takibi yapılmalı. SIEM sistemlerinde özellikle vishing kaynaklı MFA onay taleplerine dair uyarılar oluşturulabilir. EDR araçları ile kullanıcı cihazlarından olağan dışı işlem aktiviteleri izlenmeli, ağ segmentasyonu ve Zero Trust prensipleri sıkılaştırılmalıdır.
Unutulmamalı ki, bu saldırı klasik kimlik bilgisi hırsızlığından öte, kullanıcıları sosyal mühendislik ile kandırarak hesaplarına doğrudan kalıcı erişim sağlama amacı taşıyor. Bu yüzden sadece teknik tedbirler değil, farkındalık yükseltme ve çok katmanlı savunma stratejileri hayati önem taşıyor.
