DEBULL Aracı ile Microsoft 365 Hesaplarına Yönelik Cihaz Kodu Kimlik Avı Saldırıları Siber Güvenlik

DEBULL Aracı ile Microsoft 365 Hesaplarına Yönelik Cihaz Kodu Kimlik Avı Saldırıları

DEBULL adlı yeniden kullanılabilir araç, Microsoft 365 cihaz kodu akışını istismar ederek MFA'yı atlatan kimlik avı kampanyaları düzenliyor.

ZeroBEC tarafından yapılan bir analize göre, Haziran 2026’nın son haftasından Temmuz başına kadar süren bir Microsoft 365 cihaz kodu kimlik avı kampanyası tespit edildi. Saldırganlar, iş birliği temalı tuzaklar kullanarak kurbanların hesaplarını ele geçirdi. Kampanya, sahte bir Microsoft şifre sayfasına dayanmıyor; bunun yerine kullanıcıları meşru Microsoft cihaz giriş deneyimine yönlendirirken, arka uçta bir aracı Microsoft Authentication Broker cihaz kodu tokenları üretip yokluyor. Bu yöntem, Storm-2372 olarak bilinen ve Microsoft tarafından Şubat 2025’te belgelenen kampanyayla güçlü benzerlikler taşıyor.

Cihaz kodu kimlik avı, saldırganların meşru OAuth 2.0 cihaz yetkilendirme akışını kötüye kullandığı bir kimlik hırsızlığı tekniğidir. Bu yöntem, çok faktörlü kimlik doğrulamayı (MFA) baypas ederek kalıcı hesap erişimi sağlar. Geleneksel kimlik avı saldırılarından farklı olarak, burada kullanıcı, güvendiği bir kimlik doğrulama istemini tamamlamaya ikna edilir. Saldırgan, cihaz kodunu kendisi başlatır ve bu kodu bir kimlik avı tuzağıyla kurbana gönderir. Kurban kodu girdiğinde, farkında olmadan saldırganın oturumunu yetkilendirir ve hesap erişimi sağlanır. Bu saldırılar, şifre gerektirmez, MFA’yı atlar ve oturum tokenlarını doğrudan saldırgana teslim eder.

ZeroBEC’in gözlemlediği kampanyada, ödeme ve paylaşılan klasör bahaneleri kullanılarak kurbanların, meşru ancak ele geçirilmiş bir Hırvat kiralama web sitesine yönlendirilmesi sağlanıyor. Bu site, bir cihaz kodu orkestratörü görevi görerek Microsoft cihaz kodu zincirini başlatıyor. Saldırıda Türkçe geliştirici işaretleri bulunsa da, kampanyanın kaynağını kesin olarak belirlemek yeterli değil. Altyapı analizi, DEBULL’un bir PhaaS platformu olduğunu ve Microsoft 365 ile Entra sömürüsü sonrası için GraphSpy veya benzeri bir iş akışı kullandığını ortaya koydu. Platform, operatörlerin sayfa adı, slug, HTML, CSS ve JavaScript’i düzenlemesine ve yayınlama yöntemini seçmesine olanak tanıyor. Microsoft 365 şablonu, kullanıcı kodu görüntüleme, kopyalama ve Microsoft cihaz giriş bağlantısı gibi temel yapı taşlarını içeriyor.

Bu gelişmeyle birlikte, Cisco Talos da EvilTokens platformuyla altyapı ve API paylaşan ARToken adlı yeni bir PhaaS paneli tespit etti. ARToken, 80’den fazla API uç noktasıyla cihaz kodu kimlik avı, Primary Refresh Token (PRT) kalıcılığı, e-posta erişimi, BEC operasyonları ve SharePoint sızması gibi işlevler sunuyor. Sonuç olarak, Storm-2372 tarzı kimlik avı taktikleri artık yeniden kullanılabilir aracı altyapısına paketleniyor. DEBULL, kampanya ve operatör katmanını sağlarken, GraphSpy veya benzeri kodlar kimlik doğrulama sonrası katmanı yönetiyor. Saldırganlar, arka uç kimlik yığınını değiştirmeden tuzakları kolayca güncelleyebiliyor.

Paylaş: