Kimlik bilgisi doldurma saldırılarının bu Nisan ayında patlama yaptığı konusunda Okta uyarıyor ve müşterilerine, kimlik doğrulama gerçekleşmeden önce konut proxy’lerinden kaynaklanan erişim isteklerini engellemek için mevcut araçları kullanmalarını tavsiye ediyor.
Proxy ağlarının kötüye kullanılması
Okta’dan Moussa Diallo ve Brett Winterford, “Kimlik bilgisi doldurma saldırılarında, saldırganlar ilgisiz kuruluşların önceki veri ihlallerinden veya kimlik avı veya kötü amaçlı yazılım kampanyalarından elde edilen geniş kullanıcı adı ve şifre listelerini kullanarak çevrimiçi hizmetlerde oturum açmaya çalışıyor” dedi.
“Gözlemlediğimiz tüm son saldırıların ortak bir özelliği var: TOR gibi anonimleştirme hizmetleri aracılığıyla yönlendirilen isteklere dayanıyorlar. Milyonlarca talep aynı zamanda NSOCKS, Luminati ve DataImpulse gibi çeşitli konut vekilleri aracılığıyla da yönlendirildi.”
Kimlik bilgisi doldurma saldırıları, komut dosyası oluşturma araçları aracılığıyla otomatikleştirilir.
MDR sağlayıcısı Expel yakın zamanda Paylaşıldı… 2023’te araştırılan kimlik tabanlı olayların %69’unun, barındırma sağlayıcıları veya proxy’ler gibi şüpheli altyapılardan gelen kötü amaçlı oturum açma işlemlerini içerdiği görüldü.
Okta’nın gözlemlediği bu son saldırılarda kullanılan altyapı, Duo Security ve Cisco Talos araştırmacılarınınkine benzer. Mart ayında VPN cihazlarına ve SSH hizmetlerine büyük ölçekli kaba kuvvet saldırıları başlatılacak.
Saldırı trafiğinin “son mili” olarak konut proxy ağlarının artan kullanımı, güvenlik araştırmacılarının gözünden kaçmamıştır.
Bazı kullanıcılar bilinçli olarak cihazlarına “proxy yazılımı” yüklerken, pek çok kişi de bilmeden böyle bir ağın parçası oluyor çünkü kötü amaçlı yazılım veya Proxy yazılımı kullanılarak geliştirilen meşru mobil uygulamalar yüklemişler.
Müşteriler için tavsiyeler
“Bu şüpheli isteklerin kimlik doğrulamaya iletildiği müşterilerin küçük bir yüzdesi benzer yapılandırmaları paylaşıyordu: Kuruluş neredeyse her zaman Okta Classic Engine üzerinde çalışıyordu, ThreatInsight yalnızca Denetim modunda yapılandırılmıştı (Günlük Tut ve Zorla modunda değil) ve Kimlik Doğrulama politikaları isteklere izin veriyordu Diallo ve Winterford, “Vekillerin anonimleştirilmesinden” söz etti.
Okta Identity Engine kullanımına geçmek, Log ve Enforce modunda ThreatInsight’ı etkinleştirmek ve anonimleştirilmiş proxy’lerden gelen erişim isteklerini reddetmek bu saldırıları engeller.
“Bu temel özellikler tüm Okta SKU’larında mevcut. Okta Identity Engine’e yükseltme ücretsizdir, genellikle yüksek düzeyde otomatiktir ve riskli oturum açma işlemleri için CAPTCHA sorgulamaları ve Okta FastPass kullanılarak parolasız kimlik doğrulaması da dahil olmak üzere bir dizi özelliğe erişim sağlar” diye eklediler.
Şirket ayrıca özetlenen Hesap ele geçirme girişimlerine karşı savunmaya birçok katman eklenmesi yönünde daha geniş bir öneride bulunmuş ve bu en son saldırılarda kullanılan taktikleri, teknikleri ve prosedürleri (TTP’ler) paylaşmıştır.
