Microsoft, a large-scale phishing campaign kullanıcı oturumlarını ele geçirmek ve çok faktörlü kimlik doğrulamayı atlamak için çok aşamalı teknikler kullandığını ayrıntılı olarak belirtti; bu, token tabanlı saldırılara doğru artan bir kaymayı vurguluyor.
Microsoft’un tehdit istihbarat ekibine göre, kampanya 14 Nisan ile 16 Nisan 2026 arasında kısa bir süre içinde 26 ülkede 13.000’den fazla kuruluştan 35.000’den fazla kullanıcıyı hedefledi. Hedeflerin çoğu Amerika Birleşik Devletleri’nde bulunuyordu; sağlık, finans ve teknoloji gibi sektörler ise ağır şekilde etkilendi.
Saldırı, mağdurların işyeriyle ilgili politikaları gözden geçirmeleri veya kabul etmeleri için oltalama e-postaları aldığı “davranış kuralları” cazibesine dayanıyordu. Bu mesajlar meşru görünmek üzere tasarlandı ve etkinliği artırmak için birden fazla dalga halinde dağıtıldı.
Bir hedef saldırıya uğradıktan sonra operasyon birkaç aşamada gerçekleşti. Mağdurlar, nihayetinde kimlik bilgilerini yakalamak için tasarlanmış bir oltalama sayfasına ulaştıktan önce kötü niyetli bir altyapı zincirinden yönlendirildi. Ancak kampanya sadece şifre hırsızlığıyla bitmedi. Bunun yerine, saldırganlar gerçek zamanlı kimlik doğrulama verilerini yakalamak için ortada rakip teknikleri kullandılar.
Bu yöntem, tehdit aktörlerinin oturum tokenlarını elde etmesini sağladı ve böylece kimlik bilgilerine tekrar ihtiyaç duymadan hesap erişimini sağladı. Bu tür token hırsızlığı özellikle önemlidir çünkü genellikle yetkisiz girişleri önlemek için tasarlanmış çok faktörlü kimlik doğrulama korumalarını aşabilir.
Microsoft, kampanyanın ters proxy altyapısından yararlanarak kullanıcılar ile meşru giriş hizmetleri arasında durduğunu belirtti. Bu kurulum, saldırganların kimlik doğrulama çerezlerini yakalamasına ve ilk tehlikeden sonra bile kalıcı erişimi sürdürmesine olanak tanıyordu.
Çok aşamalı tasarım ayrıca kaçınma taktiklerini de içeriyordu. Saldırı altyapısı, kullanıcı etkileşimlerine ve çevresel kontrollere dinamik olarak uyum sağladı, böylece güvenlik araçları tarafından tespit edilme olasılığını azalttı. Bazı durumlarda, oltalama içeriği hedef koşullarına göre seçici olarak gösteriliyor, bu da araştırmacılara ve otomatik savunmalara maruz kalmayı sınırlıyordu.
Araştırmacılar, kampanyanın tek bir sektöre odaklanmadığını, bunun yerine çok çeşitli kuruluşları hedef aldığını vurguladı. Bu geniş yaklaşım, yüksek hedefli saldırılar yerine hacim ve otomasyonu önceliklendiren ölçeklenebilir oltalama operasyonlarına doğru bir kayışı yansıtıyor.
Bulgular, siber tehditlerde daha geniş bir eğilimi ortaya koyuyor. Saldırganlar, kimlik bilgileri hırsızlığından giderek daha fazla oturum kaçırma ve kimlik tabanlı saldırılara doğru ilerliyor. Bu durumlarda, şifre sıfırlama gibi geleneksel savunmalar yeterli olmayabilir, çünkü çalınan tokenlar iptal edilmezse erişim sağlamaya devam edebilir.
Microsoft, kuruluşlara şüpheli oturum faaliyetlerini izlemek, koşullu erişim politikalarını uygulamak ve potansiyel tehlikelere yanıt olarak hızlı token iptal edilmesini sağlamak gibi kimlik koruma önlemlerini güçlendirmelerini tavsiye eder.
Kampanya, oltalama operasyonlarının nasıl gelişmeye devam ettiğini, sosyal mühendisliği gelişmiş altyapıyla birleştirerek yerleşik güvenlik kontrollerini aşarak ve tehlikeye girmiş hesaplara uzun vadeli erişimi sürdürdüğünü gösteriyor.