Okta, ayrıcalıklı erişim kazanmayı amaçlayan sosyal mühendislik saldırıları konusunda müşterilerini uyardı

Okta, ayrıcalıklı erişim kazanmayı amaçlayan sosyal mühendislik saldırıları konusunda müşterilerini uyardı

Kimlik ve erişim yönetimi çözümleri sağlayıcısı Okta, ABD merkezli çok sayıda müşterisinin tehdit aktörleri tarafından amacı MFA’yı devre dışı bırakmak ve yüksek ayrıcalıklar elde etmek olan sosyal mühendislik saldırılarının hedefi olduğunu söylüyor.

Okta, gerçekleşen saldırıların 29 Temmuz – 19 Ağustos 2023 tarihleri ​​arasında aktif olduğu belirtti. Tehdit aktörleri, BT tarafında müşterilere destek veren çalışanlara yönelik sosyal mühendislik saldırıları youyla hedef alarak, daha önceden hedefledikleri şirket içerisinde yüksek ayrıcalıklı haklara sahip kullanıcıları ait çok faktörlü kimlik doğrulamalarını (MFA) sıfırlamaya ikna etmeye çalışmışlar.

Şirket, tehdit aktörü ya da ana amaçları konusunda bir detay belirtmezken, başarılı bir şekilde sızma sonucunda yanal hareket ve savunmadan kaçma konusunda yeni yöntemler keşfetmişler.

Okta’ya göre tehdit aktörleri, destek tarafındaki çalışanlara ulaşmadan önce ya yüksek ayrıcalıklı haklara sahip kullanıcı hesaplarıyla ilişkili parolaları ele geçirdiler, ya da Active Directory üzerinden yetkilendirilmiş kimlik doğrulama akışını manipüle ettiler. Daha sonra ise hedeflenen ve özellikle yüksek ayrıcalıklı haklara sahip kullanıcı hesaplarına ait tüm MFA faktörlerini sıfırlamak içinde destek çalışanlarını ikna etmeye çalıştılar.

Yüksek ayrıcalıklı haklara sahip hesaplara erişen tehdit aktörleri, diğer hesaplara yüksek ayrıcalıklar atadılar ve bazı durumlarda mevcut yönetici hesapları için kayıtlı kimlik doğrulayıcılarnı sıfırladılar. Ayrıca ikinci faktör gereksinimlerini ortadan kaldırmak için kimlik doğrulama politikalarını da değiştirdiler. Okta’nın verdiği diğer detaylardan biri de tehdit aktörlerinin, hedeflenen kuruluştaki kullanıcıları taklit etmek için gelen federasyonu kötüye kullandığına dikkat çekti. 

Tehdit aktörünün, ele geçirilen hesap içerisindeki uygulamalara diğer kullanıcılar adına erişmek için bir “kimliğe bürünme uygulaması” görevi görecek ikinci bir kimlik sağlayıcıyı yapılandırdığı gözlemlenmiş. Yine saldırgan tarafından kontrol edilen bu ikinci kimlik sağlayıcı, hedefle gelen bir federasyon ilişkisinde (bazen “Org2Org” olarak da adlandırılır) bir “kaynak” IdP görevi görüyor.

Saldırganlar, kaynak görevi görecek şekilde kendi sahte kimlik sağlayıcılarını kuruyor ve ardından kullanıcı adı parametresini hedef kuruluştaki gerçek bir kullanıcıyla eşleşecek şekilde değiştiriyor. Bu, gerçek kullanıcıların kimliğine bürünerek hedef kuruluştaki uygulamalara erişmelerine olanak tanıyor.

Okta , saldırıların önlenmesine yönelik bir dizi önerinin yanı sıra güvenlik ihlali göstergelerini (IoC) paylaştı .

Bunlar ilginizi çekebilir!

Romanya seçimleri: AB, TikTok'un verileri dondurmasını ve saklamasını emretti

Romanya seçimleri: AB, TikTok'un verileri dondurmasını ve saklamasını emretti

Avrupa Komisyonu, Romanya'da devam eden seçimler sırasında gizliliği kaldırılmış istihbarat belgelerinin ardından Dijital Hizmetler Yasası kapsamında TikTok'un verileri dondurmasını ve saklamasını emretti. Görevden ayrılan Cumhurbaşkanı Klaus Iohannis tarafından 28 Kasım 2024 tarihli toplantıda alınan karar doğrultusunda gizliliği kaldırılmış istihbarat belgeleri, 5 Aralık Çarşamba günü resmi olarak

By Editor
Suçlular tarafından kullanılan şifreli mesajlaşma servisi MATRIX kapatıldı

Suçlular tarafından kullanılan şifreli mesajlaşma servisi MATRIX kapatıldı

Suçlular tarafından kullanılan "karmaşık" bir şifreli mesaşlaşma servisi olan MATRIX, Fransız ve Hollandalı yetkililerin yer aldığı ortak bir soruşturma ekibi tarafından çökertildi. Europol tarafından verilen bilgilere göre MATRIX adı verilen ve suçlular için oluşturulan mesajlaşma servisi, ilk olarak 2021 yılında Hollandalı bir gazetecinin öldürülmesinden hüküm giymiş bir suçlunun

By Editor