Haberler

Hedefli Oltalama Saldırıları ile Çok Sayıda Üst Düzey Yöneticinin Verileri Çalındı

Bilgi Güvende

tarafından

21 Mayıs 2020

tarihinde yayımlandı

Almanya, Birleşik Krallık, Hollanda, Hong Kong ve Singapur merkezli 156 şirketin başarıyla sonuçlanan oltalama saldırılarına maruz kaldığı kaydedildi. Microsoft dosya paylaşım hizmetlerini hedefleyen ve spesifik hedeflere saldırı düzenlemeyi esas alan “PerSwaysion” adlı saldırı, Sway, SharePoint ve OneNote gibi uygulamaları kullanıyor. Güvenlik uzmanları, PerSwaysion ile düzenlenen saldırıların ağırlıklı olarak finans, hukuk ve gayrimenkul sektörlerindeki şirketleri hedef aldığını belirtiyor.

Analizler, saldırıların en az 20’sinin şirket yöneticileri, başkanları ve direktörleri tarafından kullanılan Office365 programı üzerinden gerçekleştirildiğini ifade etti. Saldırılarda, Microsoft Sway üzerinde tutulan dosyalara erişim sağlayan “şimdi okuyun” başlıklı PDF eklentileri içeren e-postalar kullanıldı. Siber korsanların şüpheyi azaltmak için Microsoft Sway, Microsoft SharePoint ve OneNote gibi meşru dosya paylaşım hizmetlerini kullandıkları ifade edildi.

Şüphe duymadan ekteki PDF dosyasını açan yöneticiler, dosyada yer alan bir diğer “şimdi okuyun” bağlantısına tıkladıkları zaman sahte bir web sayfasına yönlendirildiler. Burada, yönlendirildikleri işlemi tamamlamak için e-posta adreslerinin yanı sıra diğer şahsi ve kurumsal bilgilerini girdiler.

Bir sonraki adımda siber korsanlar, Office 365 bilgileri ele geçirilen yöneticilerin e-posta hesaplarına ait tüm verileri sunucuya bağlanarak ele geçirdi.

Çalınan bilgiler ile ikinci dalga oltalama yapıldı

Siber korsanların saldırıları, ele geçirilen veriler ile hazırlanan isimler, e-posta adresleri ve yasal kurumsal imza içeren PDF dosyaları oldu. Bu dokumanlar, verileri kullanılan kişinin bağlı olduğu kurumun dışındaki spesifik isimlere gönderildi. Siber korsanlar, üst düzey yöneticilere gönderdikleri özel hazırlanmış e-postaları “gönderilen” kutusundan silerek şüpheleri azalttı. Güvenlik araştırmacıları, siber korsanların hedeflerini belirlerken LinkedIn profilleri üzerinden inceleme yaptıklarını düşünüyor.