Açık Dizin Sırrı Açığa Çıktı: Üç Evilginx Operatörü Ortaya Döküldü Yazılım

Açık Dizin Sırrı Açığa Çıktı: Üç Evilginx Operatörü Ortaya Döküldü

Bir Python sunucusundaki açık dizin, üç farklı siber suçlunun Evilginx tabanlı kimlik avı altyapısını ve kurban verilerini sızdırdı.

Fransız güvenlik firması Lexfo'nun yeni araştırmasına göre, Budapeşte'deki bir sanal özel sunucuda çalışan yanlış yapılandırılmış bir Python HTTP sunucusu, üç aktif siber suçlunun kimlik avı ekosistemini tamamen açığa çıkardı. Dizin listeleme özelliği açık bırakılan sunucuda, kimlik avı yapılandırmaları, çalınan kimlik bilgileri, uzaktan yönetim araçları ve hatta operatörlerin Telegram oturum dosyaları okunabilir durumdaydı. Bu sızıntı, kurumsal Microsoft 365 hesaplarını hedef alan Evilginx tabanlı bir adversary-in-the-middle (AiTM) platformunu yöneten 'codemado' takma adlı tehdit aktörünü ortaya çıkardı.

Sunucudaki eserler, codemado'yu 2018'den beri hack forumlarında aktif olan Mısırlı bir operatöre bağladı. Kimlik avı proxy'sinin ötesinde, sunucuda ScreenConnect ve SimpleHelp dahil olmak üzere yedi farklı uzaktan izleme ve yönetim (RMM) aracı ve codemado'nun kendi geliştirdiği özel bir toplu e-posta gönderici olan MaDoO Blaster bulunuyordu. Diğer iki aktör ise codemado'nun klonladığı Evilginx çatalları aracılığıyla ortaya çıktı. Lexfo, bu bağlantının teknik olduğunu ve paylaşılan kodun koordinasyon kanıtı olmadığını belirtti.

'mail-argenta' adlı operatör, bilgi hırsızı günlüklerinde yeniden kullanılan kimlik bilgileri ve bir kimlik avı paneline sabit kodlanmış MySQL şifresiyle tespit edildi; bu, Nijeryalı bir bireye işaret ediyor. Üçüncü aktör 'saroula01' ise meşru bir Microsoft özelliği olan OAuth Device Code Flow'u kötüye kullanan bir framework geliştirdi. Bu yöntemde kurban, oturum açma işlemini gerçek bir Microsoft sayfasında tamamlarken, saldırganın arka ucu token'ı ele geçiriyor.

Önemli Gelişmeler

Üç operatör arasında en büyük operasyon saroula01'e aitti. Lexfo, git geçmişinden silinmiş bir yapılandırma dosyasını kurtardı ve bot zaman damgaları, kampanyanın Haziran 2025'te başladığını ve bir yıldan fazla süredir kesintisiz devam ettiğini gösterdi. Bu süre zarfında, 12 ülkede 218 kurban tespit edildi; bunların yaklaşık %94'ü kurumsal hedeflerdi. Ele geçirilen token'lar arka planda otomatik olarak yenileniyor ve bazı girdiler 25 defaya kadar sessizce güncellenmişti.

Sistem Güvenliği

Her üç operatörde de ortak bir tema, araç geliştirmede üretken yapay zeka kullanımıydı. saroula01'in commit'lerinde AI ortak yazar metaverisi ve mail-argenta'nın deposunda kaydedilmiş bir geliştirme oturumu buna kanıt olarak gösterildi. Lexfo ayrıca codemado'nun MaDoO Blaster'ını, SOCRadar tarafından belgelenen ve RockyBelling adlı bir aktör tarafından yönetilen 'The Quarry' adlı bir phishing-as-a-service (PaaS) ekosistemine bağladı.

Lexfo, işlevsel bir AiTM kampanyası yürütme engelinin neredeyse sıfıra düştüğünü belirtti. Bileşenler ya GitHub'da ücretsiz ya da Telegram'da birkaç yüz dolara satılıyor. Araştırmacılar, savunmacıları herhangi bir aktörün oturum ele geçirme veya Device Code Flow kötüye kullanımı yoluyla MFA'yı atlayabileceğini varsaymaya ve gerekli olmayan yerlerde cihaz kodu kimlik doğrulamasını devre dışı bırakmaya çağırdı.

Kaynak: infosecurity-magazine.com

Paylaş: