Yazılım & İşletim SistemiOrta

Microsoft Azure Monitor Uyarılarının Callback Oltalama (Phishing) Amaçlı Kötüye Kullanımı

Siber güvenlik uzmanları, saldırganların Microsoft Azure Monitor uyarı mekanizmasını kullanarak, kullanıcıları Microsoft Güvenlik Ekibi adına yetkisiz işlemler konusunda uyaran callback oltalama e-postaları gönderdiğini tespit etti. Bu makale, tehdidi ve korunma yöntemlerini açıklamaktadır.

B
Bleeping Computer Tutorials
15 görüntülenme
Microsoft Azure Monitor Uyarılarının Callback Oltalama (Phishing) Amaçlı Kötüye Kullanımı

Microsoft Azure Monitor Uyarılarının Callback Oltalama Amaçlı Kötüye Kullanımı

Son dönemde, siber güvenlik araştırmacıları, saldırganların Microsoft Azure hizmetlerindeki meşru bir özelliği, yani Azure Monitor Uyarılarını, kullanıcıları hedef alan gelişmiş oltalama (phishing) kampanyaları yürütmek için kullandığını belirlemiştir. Bu saldırılar, genellikle kurbanları acil bir eylem yapmaya zorlamak amacıyla Microsoft Güvenlik Ekibi'nden geliyormuş gibi görünen sahte bildirimler içerir.

Tehdit Mekanizması: Azure Monitor ve Webhook Entegrasyonu

Bu saldırının temelinde, Azure Monitor'ün bir uyarı tetiklendiğinde harici bir hizmete bildirim gönderme yeteneği (Webhook aracılığıyla) yatar. Saldırganlar, genellikle bir Azure aboneliği üzerinde kontrol sağladıktan sonra veya sahte bir abonelik oluşturduktan sonra, belirli, ancak kolayca tetiklenebilecek koşulları kullanarak bir uyarı kuralı oluştururlar. Bu kuralın aksiyon grubu, saldırganın kontrolündeki bir harici hizmete (örneğin, bir webhook URL'sine) veri gönderir.

Ancak bu senaryoda, saldırganlar bu mekanizmayı doğrudan e-posta göndermek için değil, genellikle bir Callback Oltalama (Callback Phishing) döngüsünü başlatmak için kullanmaktadırlar. Azure Monitor, bir uyarıyı tetiklediğinde, bu uyarıya bağlı olarak bir e-posta bildirimi de tetiklenebilir (Action Group'lar aracılığıyla). Saldırganlar, bu e-postanın içeriğini manipüle ederek (veya e-posta şablonlarını kullanarak) sanki Microsoft'tan geliyormuş gibi gösterirler. E-postada, hesabınızda yetkisiz bir şarj veya oturum açma girişimi olduğu iddia edilir ve kurbanın hemen bir telefon numarası araması istenir.

UYARI: Bu tür e-postalarda verilen telefon numaraları, saldırganların kontrolündedir. Bu numaraları aramak, kurbanı doğrudan dolandırıcılık operasyonunun merkezine yönlendirir. Asla şüpheli e-postalardaki telefon numaralarını aramayın; bunun yerine resmi Microsoft destek kanallarını kullanın.

Tehdide Karşı Savunma ve Önleme Adımları

Bu tür kötüye kullanımları önlemek için Azure ortamınızda sıkılaştırma (hardening) yapmak kritik öneme sahiptir. Odaklanılması gereken temel alanlar, kimlik yönetimi ve uyarı aksiyon gruplarının kısıtlanmasıdır.

1. Azure Kaynakları Üzerindeki Erişim Kontrolünü Sıkılaştırma (RBAC)

Saldırganların Azure Monitor kurallarını oluşturmasını veya değiştirmesini engellemek için en az ayrıcalık ilkesini uygulayın.

  1. Gereksiz Katılımcı Rollerinden Kaçının: 'Katkıda Bulunan' (Contributor) veya 'Sahip' (Owner) rollerini yalnızca kesinlikle ihtiyaç duyan kullanıcılara atayın.
  2. Özel Roller Oluşturun: Yalnızca uyarıları okuma veya belirli kaynakları yönetme yetkisi veren özel (Custom) Azure RBAC rolleri tanımlayın.
  3. Azure Policy Uygulayın: Belirli kaynak gruplarında veya aboneliklerde uyarı kuralı oluşturma yeteneğini kısıtlayan politikalar uygulayın.

2. Action Group (Aksiyon Grubu) ve Webhook Güvenliği

Action Group'lar, uyarıların nereye bildirim göndereceğini tanımlar. Bunların kötüye kullanımını önlemek hayati önem taşır.

  1. Webhook URL'lerini Kısıtlayın: Mümkünse, Action Group'larda yalnızca dahili veya bilinen, güvenli uç noktalara (endpoint) bildirim göndermeye izin verin. Dış Webhook'ları devre dışı bırakmayı düşünün, eğer gerekmiyorsa.
  2. Acil Durum İletişim Ayarları: E-posta bildirimleri için, yalnızca onaylanmış ve güvenilir e-posta adreslerinin Action Group'lara eklenebildiğinden emin olun.
  3. Azure Activity Log Denetimi: Düzenli olarak kimlerin yeni uyarı kuralları oluşturduğunu veya mevcut kuralları değiştirdiğini denetleyin. Aşağıdaki sorgu, son 24 saatteki kural değişikliklerini gösterebilir (Azure Resource Graph veya Log Analytics kullanılarak):

Resources
| where type =~ 'microsoft.insights/alertrules' or type =~ 'microsoft.insights/actiongroups'
| where properties.status =~ 'Enabled'
| extend ChangeTime = properties.lastModifiedTime
| order by ChangeTime desc

Sonuç ve İyileştirme

Bu saldırı vektörü, meşru bulut hizmetlerinin nasıl sosyal mühendislik saldırılarının bir parçası haline gelebileceğini göstermektedir. Yöneticilerin, yalnızca kimlik güvenliğine değil, aynı zamanda Azure'daki yapılandırma güvenliğine de odaklanması gerekmektedir. Azure Monitor'ün varsayılan ayarları genellikle güvenlidir, ancak saldırganlar, ele geçirdikleri düşük ayrıcalıklı hesaplar üzerinden dahi bu mekanizmaları tetikleyebilirler.

Zorluk Seviyesi: Intermediate

İlgili Makaleler