ShinyHunters grubu Okta ve Microsoft SSO hesaplarını hedef alan veri hırsızlığı saldırılarını üstlendi

ShinyHunters olarak bilinen şantaj grubu, Okta, Microsoft Entra ve Google tek oturum açma (SSO) hesaplarını hedef alan saldırıların bir bölümünün sorumluluğunu üstlendi. BleepingComputer tarafından aktarılan bilgilere göre saldırılar, çalışanların telefonla aranarak IT destek personeli gibi davranılması ve kimlik bilgileri ile çok faktörlü kimlik doğrulama kodlarının oltalama sitelerine girilmesinin sağlanması yoluyla gerçekleştirildi.

Saldırganlar, ele geçirilen SSO hesapları üzerinden kurumsal SaaS platformlarına erişim sağladı. Uzmanlar, tek bir SSO hesabının ele geçirilmesinin, bağlı uygulamalar nedeniyle şirket sistemlerine geniş kapsamlı erişim sunduğuna dikkat çekti.

SSO panelleri kurumsal sistemlere açılan kapı
Okta, Microsoft Entra ve Google tarafından sunulan SSO hizmetleri, çalışanların bulut servisleri, iç araçlar ve iş platformlarına tek bir girişle erişmesini sağlıyor. Bu panellerde bağlı tüm uygulamaların listelenmesi, ele geçirilen bir hesabı kurumsal veriler için kritik bir geçit hâline getiriyor.

SSO üzerinden sıkça erişilen platformlar arasında Salesforce, Microsoft 365, Google Workspace, Dropbox, Adobe, SAP, Slack, Zendesk ve Atlassian gibi hizmetler yer alıyor.

Sesli oltalama ile gerçek zamanlı MFA yönlendirmesi
BleepingComputer’ın daha önce bildirdiği üzere saldırganlar, çalışanları telefonla arayarak IT birimi gibi davranıyor ve oltalama sayfalarına yönlendiriyor. Kurbanlar giriş yaptığında ve MFA süreci başladığında, saldırganlar gerçek zamanlı olarak yönlendirme yapıyor.

Okta tarafından yayımlanan raporda, bu saldırılarda kullanılan oltalama kitlerinin web tabanlı bir kontrol paneli içerdiği belirtildi. Bu panel sayesinde saldırganlar, telefon görüşmesi sırasında kurbana gösterilen ekranları anlık olarak değiştirerek MFA onayı, TOTP kodu girişi veya bildirim onaylatma adımlarını yönlendirebiliyor.

ShinyHunters saldırıları doğruladı
ShinyHunters, BleepingComputer’a yaptığı açıklamada, “Bu saldırıların arkasında olduğumuzu doğruluyoruz.” ifadesini kullandı. Grup, “Salesforce birincil ilgi ve hedefimiz olmaya devam ediyor, diğerleri ise bundan faydalanan unsurlar.” değerlendirmesinde bulundu.

Grup, saldırılarda kullanılan altyapı ve alan adlarına ilişkin bazı detayları doğrularken, Okta’nın paylaştığı bir oltalama kontrol sunucusu ekran görüntüsünün kendilerine ait olmadığını, kendi platformlarının şirket içinde geliştirildiğini savundu.

Şirketlerden farklı açıklamalar
Microsoft, konuya ilişkin paylaşacak bir bilgi olmadığını bildirirken, Google ise ürünlerinin kampanya kapsamında kötüye kullanıldığına dair kanıt bulunmadığını açıkladı. Google sözcüsü, “Şu aşamada Google’ın kendisinin veya ürünlerinin bu kampanyadan etkilendiğine dair bir bulgumuz yok.” dedi.

Okta ise veri hırsızlığı iddialarına doğrudan yorum yapmazken, sesli oltalama saldırılarında kullanılan araçlara ilişkin teknik detayları içeren raporunu kamuoyuyla paylaştı.

Önceki veri sızıntıları yeni saldırılarda kullanılıyor
ShinyHunters, daha önceki büyük veri ihlallerinden elde edilen bilgileri kullanarak çalışanlara ulaştığını öne sürdü. Bu veriler arasında telefon numaraları, unvanlar ve isimlerin yer aldığı, bu sayede sosyal mühendislik aramalarının daha inandırıcı hâle getirildiği belirtildi.

Grup, Tor ağı üzerindeki veri sızıntı sitesini yeniden faaliyete geçirdi. Sitede SoundCloud, Betterment ve Crunchbase ihlallerinin listelendiği görüldü. Crunchbase, kurumsal ağından bazı belgelerin sızdırıldığını doğrularken, olayın kontrol altına alındığını ve sistemlerin güvenli olduğunu açıkladı.

Ajans Expres Gazetesi