Açık Dizin Üç Evilginx Phishing Operatörünü Ortaya Çıkardı: MFA Bypass Tehdidi Büyüyor Yazılım

Açık Dizin Üç Evilginx Phishing Operatörünü Ortaya Çıkardı: MFA Bypass Tehdidi Büyüyor

Yanlış yapılandırılmış bir sunucu, üç Evilginx operatörünün araçlarını, kurban verilerini ve Telegram oturumlarını açığa çıkardı. AiTM saldırıları MFA

Fransız güvenlik firması Lexfo'nun yeni araştırmasına göre, yanlış yapılandırılmış tek bir sunucu, aktif bir üç aktörlü kimlik avı ekosisteminin tüm araç setini ifşa etti. Nisan ayı sonunda Budapeşte'deki bir sanal özel sunucuda çalışan Python HTTP sunucusu, dizin listeleme açık bırakıldığı için saldırganlara ait phishing konfigürasyonları, kimlik bilgisi günlükleri, uzaktan yönetim yükleyicileri ve operatörün Telegram oturum dosyaları dahil olmak üzere hassas verileri sızdırdı. Bu sunucunun arkasında, codemado kod adıyla takip edilen ve Evilginx tabanlı bir adversary-in-the-middle (AiTM) platformu kullanarak kurumsal Microsoft 365 hesaplarını hedef alan bir tehdit aktörü bulunuyordu.

Sunucuda bulunan yapay eserler, codemado'yu 2018'den beri hacker forumlarında aktif olan Mısırlı bir operatöre bağladı. Phishing proxy'sinin ötesinde, sunucuda ScreenConnect ve SimpleHelp dahil olmak üzere yedi araçlık bir uzaktan izleme ve yönetim (RMM) cephaneliği ve codemado'nun kendi geliştirdiği özel bir toplu e-posta gönderme aracı MaDoO Blaster bulunuyordu. Diğer iki aktör ise codemado'nun klonladığı Evilginx çatalları aracılığıyla ortaya çıktı. Lexfo'ya göre bağlantıları operasyonel değil teknikti: depolar GitHub'da herkese açıktı ve paylaşılan kod, koordinasyonu kanıtlamıyor.

mail-argenta adlı bir operatör, yeniden kullanılan kimlik bilgilerini taşıyan infostealer günlükleri aracılığıyla izlendi; özellikle bir phishing paneline sabit kodlanmış MySQL şifresi, Nijeryalı bir bireyi işaret ediyordu. Üçüncü aktör saroula01 ise, meşru bir Microsoft özelliği olan OAuth Device Code Flow'u kötüye kullanan bir çerçeve geliştirdi. Bu yöntemde kurban, gerçek bir Microsoft sayfasında işlemi tamamlarken, saldırganın arka ucu token'ı ele geçiriyor. Bu sayede MFA korumalı hesaplara bile erişim sağlanabiliyor.

Uzmanların Görüşleri

Üç operatör arasında en büyük operasyon saroula01'e aitti. Lexfo, git geçmişinden silinmiş bir yapılandırma dosyasını yeniden oluşturdu ve dahili bot zaman damgaları, kampanyanın Haziran 2025'e kadar uzandığını, yani bir yıldan fazla bir süredir kesintisiz devam ettiğini gösterdi. Bu süre zarfında, 12 ülkede 218 doğrulanmış kurban toplandı; bunların yaklaşık %94'ü kurumsal hedeflerdi. Ele geçirilen token'lar arka planda otomatik olarak yenileniyor ve kurtarılan girişler 25 kata kadar sessizce yenilenmişti; bu da ilk kimlik avından çok sonra bile erişimin devam etmesini sağlıyordu.

Her üç operatörde de ortak bir iplik, araçları oluşturmak için üretken yapay zeka kullanımıydı; saroula01'in commit'lerinde AI ortak yazar meta verileri ve mail-argenta'nın deposunda kaydedilmiş bir geliştirme oturumu buna kanıt olarak gösterildi. Lexfo ayrıca codemado'nun MaDoO Blaster'ını, SOCRadar tarafından Haziran ayında belgelenen ve RockyBelling olarak bilinen bir aktör tarafından yürütülen The Quarry adlı phishing-as-a-service (PaaS) ekosistemine bağladı. RockyBelling, bu aracı müşterilerine tanıtıyordu.

Lexfo, işlevsel bir AiTM kampanyası yürütme engelinin sıfıra yaklaştığını, bileşenlerin GitHub'da ücretsiz veya Telegram'da birkaç yüz dolara satıldığını belirtti. Defans oyuncularına, herhangi bir aktörün oturum ele geçirme veya Device Code Flow kötüye kullanımı yoluyla MFA'yı atlayabileceğini varsaymalarını ve gerekli olmayan yerlerde cihaz kodu kimlik doğrulamasını devre dışı bırakmalarını tavsiye etti. Bu olay, kuruluşların MFA'ya körü körüne güvenmemesi gerektiğini ve phishing saldırılarına karşı daha kapsamlı savunma katmanları uygulaması gerektiğini bir kez daha hatırlatıyor.

Kaynak: infosecurity-magazine.com

Paylaş: