DEBULL Aracı ile Yeni Nesil Cihaz Kodu Oltalama: Microsoft 365 Hesapları Hedefte Siber Güvenlik

DEBULL Aracı ile Yeni Nesil Cihaz Kodu Oltalama: Microsoft 365 Hesapları Hedefte

DEBULL adlı yeniden kullanılabilir araç, Microsoft cihaz kodu akışını istismar ederek M365 hesaplarını ele geçiriyor. MFA’yı aşan bu tehdit, iş birliğ

ZeroBEC tarafından yapılan yeni bir analiz, Haziran 2026'nın son haftasından Temmuz başına kadar süren bir Microsoft 365 cihaz kodu oltalama kampanyasını ortaya çıkardı. Kampanya, sahte bir Microsoft şifre sayfası yerine, kullanıcıları meşru Microsoft cihaz giriş deneyimine yönlendiren iş birliği temalı tuzaklar kullanıyor. Arka planda bir aracı, Microsoft Authentication Broker cihaz kodu belirteçlerini oluşturup yokluyor. Bu taktik, Storm-2372 olarak bilinen ve Şubat 2025'te Microsoft tarafından belgelenen kampanyayla güçlü benzerlikler taşıyor.

Cihaz kodu oltalama, saldırganların meşru OAuth 2.0 kimlik doğrulama mekanizmasını (Cihaz Yetkilendirme Hibe akışı) istismar ederek çok faktörlü kimlik doğrulamayı (MFA) atlattığı bir kimlik avı tekniğidir. Geleneksel oltalama saldırılarının aksine, bu yöntem kullanıcıları gerçek bir kimlik doğrulama istemini tamamlamaya yönlendirir. Microsoft, bu akışı akıllı TV veya yazıcı gibi sınırlı arayüzlü cihazlar için tasarlamıştır: Kullanıcı cihazda kısa bir kod görür ve bu kodu başka bir cihazdaki web tarayıcısına girerek kimlik doğrulamayı tamamlar.

Saldırganlar, bu ayırımı kullanarak kimlik doğrulama akışını kendileri başlatır ve kodu bir oltalama tuzağı aracılığıyla hedefle paylaşır. Kullanıcı kodu girdiğinde farkında olmadan saldırganın oturumunu yetkilendirir. Bu sayede MFA atlanır, şifre gerekmez ve oturum belirteçleri doğrudan saldırgana teslim edilir. Başarılı bir cihaz kodu oltalama, tam hesap ele geçirme, bilgi hırsızlığı, dolandırıcılık, kurumsal e-posta ele geçirme (BEC) ve hatta fidye yazılımı gibi yıkıcı saldırılara yol açabilir.

Proofpoint'in Mayıs 2026 analizine göre, güncel kampanyalarda kod, kullanıcı ilk oltalama bağlantısına tıkladığında dinamik olarak oluşturuluyor. Bu küçük değişiklik, kullanıcının e-postayı herhangi bir zamanda görüntüleyerek saldırı zincirini başlatmasına olanak tanıyor. Bu tür saldırı zincirleri, EvilTokens veya Tycoon gibi Hizmet Olarak Oltalama (PhaaS) teklifleriyle satın alınabiliyor veya tehdit aktörleri tarafından oluşturulabiliyor. Ayrıca, bu kampanyalar hesap ele geçirme (ATO) sıçraması kullanarak ele geçirilen bir e-posta hesabı üzerinden daha geniş bir kişi listesine saldırı bağlantıları gönderiyor.

ZeroBEC'in gözlemlediği kampanyada, oltalama e-postalarında ödeme ve paylaşılan klasör bahaneleri kullanılarak kurbanlar, meşru ancak ele geçirilmiş bir Hırvat kiralama web sitesine yönlendiriliyor. Bu site, cihaz kodu düzenleyicisi olarak Microsoft cihaz kodu zincirini başlatıyor. Çalışma akışında Türkçe geliştirici işaretleri bulunmasına rağmen, bu ipuçları kampanyanın kaynağını kesin olarak belirlemeye yetmiyor. Altyapı analizi, DEBULL'un GraphSpy veya türevi bir iş akışı kullanan bir PhaaS platformu olduğunu gösteriyor.

DEBULL, operatörlerin sayfa adı ve yolu tanımlamasına, HTML, CSS ve JavaScript'i doğrudan düzenlemesine ve tuzağı yayınlama yöntemini seçmesine olanak tanıyor. Yerleşik şablonlar arasında Microsoft 365 cihaz kodu sayfası, OAuth geri çağırma sayfası ve modern bir açılış sayfası bulunuyor. Cisco Talos ise ARToken adlı bir PhaaS operatör paneli tespit etti. Bu panel, EvilTokens platformuyla altyapı ve API sözleşmelerini paylaşıyor ve operatörlere cihaz kodu oltalama, PRT kalıcılığı, e-posta erişimi, BEC işlemleri ve SharePoint sızdırması için 80'den fazla API uç noktası sunuyor.

Kaynak: thehackernews.com

Paylaş: