DEBULL Tooling, M365 Hesaplarını Hedeflemek İçin Microsoft Cihaz Kodu Akışını Kötüye Kullanıyor Yazılım

DEBULL Tooling, M365 Hesaplarını Hedeflemek İçin Microsoft Cihaz Kodu Akışını Kötüye Kullanıyor

ZeroBEC'in bulgularına göre, Haziran 2026'nın son haftasından Temmuz başına kadar kurban hesaplarının kontrolünü ele geçirmek için işbirliği temalı tu...

ZeroBEC'in bulgularına göre, Haziran 2026'nın son haftasından Temmuz başına kadar kurban hesaplarının kontrolünü ele geçirmek için işbirliği temalı tuzaklardan yararlanan bir Microsoft 365 cihaz kodu kimlik avı kampanyası gözlemlendi.

E-posta güvenlik şirketi, The Hacker News ile paylaşılan bir raporda, "Kampanya sahte bir Microsoft şifre sayfasına dayanmıyordu. Kullanıcıları meşru Microsoft cihaz oturum açma deneyimine itmek için kötü niyetli bir işbirliği tarzı cazibe kullandı, bu arada bir arka uç komisyoncusu Microsoft Authentication Broker cihaz kodu belirteçlerini oluşturup yokladı." dedi.

Etkinliğin, Şubat 2025'te Microsoft tarafından Storm-2372 adı altında belgelenen bir kampanyayla "güçlü" örtüşmeler paylaştığı değerlendiriliyor; bu kampanyada, şüpheli olmayan kurbanları kimlik bilgileriyle birlikte saldırgan tarafından sağlanan bir cihaz kodunu girmeleri için kandırmak amacıyla mesajlaşma veya Teams tarzı yemlerin kullanılması da dahil olmak üzere, tehdit aktörünün jetonu kurtarmasına ve hesaplarını ele geçirmesine etkili bir şekilde olanak tanıyor.

Uzmanların Görüşleri

Bu benzerliklere rağmen tehdit aktörlerinin, DEBULL adı verilen yeniden kullanılabilir bir araç katmanı olarak tanımlanan bir katman üzerinden Storm-2372 tarzı ticari araç kullandıkları değerlendiriliyor.

Cihaz kodu kimlik avı, saldırganların çok faktörlü kimlik doğrulamayı (MFA) atlamak ve kullanıcı şifrelerini çalmak zorunda kalmadan kalıcı hesap erişimi elde etmek için meşru bir OAuth 2.0 kimlik doğrulama mekanizmasından, özellikle Cihaz Yetkilendirme Hibe akışından yararlandığı bir kimlik hırsızlığı tekniğini ifade eder.

Detaylar ve Etkileri

Operatörlerin sahte ortadaki rakip (AitM) oturum açma sayfaları oluşturmasını gerektiren geleneksel kimlik avı saldırılarının aksine, cihaz kodu kimlik avı, kullanıcının gerçek, güvenilir bir kimlik doğrulama istemini tamamlaması için yönlendirilmesine dayanır.

Microsoft'a göre cihaz kodu kimlik doğrulaması, geleneksel etkileşimli oturum açmayı destekleyemeyen akıllı TV'ler veya yazıcılar gibi sınırlı arayüzlere sahip cihazlar için tasarlanmış meşru bir OAuth akışıdır. Bu senaryoda, kullanıcıya oturum açmaya çalıştığı cihazda kısa bir kod sunulur ve kimlik doğrulamayı tamamlamak için bu kodu ayrı bir cihazdaki web tarayıcısına girmesi istenir.

Sistem Güvenliği

Tehdit aktörleri kendilerini eklemek ve kimlik doğrulama akışını başlatmak için bu ayrımı kötüye kullandılar. Daha sonra bu kodu bir kimlik avı tuzağı aracılığıyla hedefle paylaşırlar. Böylece kullanıcı kodu girdiğinde tehdit aktörünün bilgisi dışında oturum açmasına izin veriyor ve hesaba erişim sağlıyor.

Huntress, "Cihaz kodu kimlik avı, hack yoluyla içeri girmiyor" diyor. "Şifre gerektirmeden, MFA'yı atlayarak ve oturum belirteçlerini doğrudan saldırgana ileterek doğrudan ön kapıdan geçmek için meşru bir kimlik doğrulama akışı kullanıyor."

Başarılı cihaz kodu kimlik avı saldırıları, hesabın tamamının ele geçirilmesini, değerli bilgilerin çalınmasını, dolandırıcılığı, iş e-postasının ele geçirilmesini (BEC), güvenliği ihlal edilmiş bir ortamda yanal hareketi ve hatta fidye yazılımı gibi yıkıcı saldırıları kolaylaştırabilir.

Teknik Analiz

Proofpoint, Mayıs 2026'da yayınlanan bir analizde "Mevcut cihaz kodu kimlik avı saldırılarının çoğunda, kod, kullanıcı ilk kimlik avı bağlantısını tıkladığında dinamik olarak üretiliyor. Görünüşte küçük olan bu değişiklik, kullanıcının saldırı zincirini başlatmak için istediği zaman e-postayı görüntülemesine olanak tanıyor," dedi Proofpoint. "Cihaz kodu saldırı zincirlerinin bu yeni uygulamaları, EvilTokens veya Tycoon gibi hizmet olarak kimlik avı (PhaaS) teklifleri aracılığıyla satın alınabilir veya oluşturulup sahiplenilebilir kampanyaları yürüten tehdit aktörü tarafından. "

Gelecekte Ne Bekleniyor?

Bu kampanyaların ayrıca, bir saldırganın ilk e-posta hesabını ele geçirdiği ve daha sonra bunu kötüye kullanarak daha geniş bir kişi grubuna bir düğme, köprü bağlantılı metin, bir belgenin içine yerleştirilmiş veya bir QR kodu biçiminde kimlik avı bağlantıları gönderdiği bir teknik olan hesap ele geçirme (ATO) atlamasından yararlandığı da biliniyor. Bağlantılar, alıcı tarafından ziyaret edildiğinde Microsoft cihaz yetkilendirme sürecini kullanan bir saldırı dizisini başlatır.

ZeroBEC, gözlemlediği kampanyanın, kurbanları kendilerini meşru ancak güvenliği ihlal edilmiş bir Hırvat kiralama web sitesine yönlendiren bir URL'ye tıklamaları için kandırmak amacıyla kimlik avı e-postalarında ödeme ve paylaşılan klasör bahaneleri kullanmayı içerdiğini ve bunun da Microsoft cihaz kodu sorgulama zincirini başlatmak için kullanılan bir cihaz kodu düzenleyicisi olarak görev yaptığını söyledi.

Sonuç ve Değerlendirme

İş akışı, Türkçe geliştirici işaretçilerinin varlığıyla karakterize ediliyor, ancak ipuçları kampanyanın kaynağını kesin olarak belirlemek için yeterli değil. Altyapının daha ayrıntılı analizi, DEBULL'un muhtemelen Microsoft 365 için GraphSpy veya GraphSpy'dan türetilmiş bir iş akışını kullanan bir hizmet olarak kimlik avı (PhaaS) platformu olduğunu ortaya çıkardı. nd Entra sömürü sonrası.

ZeroBEC, "Operatörler bir sayfa adı ve bilgi tanımlayabilir, HTML, CSS ve JavaScript'i doğrudan düzenleyebilir, ardından yemin nasıl yayınlanacağını seçebilir" dedi. "Gömülü şablonlar arasında bir Microsoft 365 cihaz kodu kimlik doğrulama sayfası, bir OAuth geri arama sayfası ve modern bir giriş sayfası yer alıyordu. Microsoft 365 şablonu, kampanya tarafından kullanılan yapı taşını tam olarak ortaya çıkardığı için özellikle önemlidir: kullanıcı kodu ekranı, kod kopyalama davranışı ve Microsoft cihazda oturum açma bağlantısı."

Nasıl Önlem Alınmalı?

"Daha yararlı sonuç, Storm-2372 tarzı kimlik ticaretinin artık yeniden kullanılabilir komisyoncu altyapısında paketlendiğidir. DEBULL, kampanyaya yönelik ve operatöre yönelik katmanı sağlar. GraphSpy veya GraphSpy'dan türetilmiş kod, muhtemelen kimlik doğrulama sonrası katmanı yönetir. Yem, arka uç kimlik yığınını değiştirmeden değiştirilebilir."

Önemli Gelişmeler

Açıklama, Cisco Talos'un, altyapıyı, API sözleşmelerini ve operasyonel kalıpları EvilTokens cihaz kodu kimlik avı platformuyla paylaşan ve bağlı kuruluşların kullanımına sunulan ARToken markalı tam özellikli bir PhaaS operatör panelini tanımladığını söylemesinin ardından geldi.

Talos, "ARToken paneli, cihaz kodu kimlik avı, Birincil Yenileme Tokeni (PRT) kalıcılığı, e-posta erişimi, iş e-postası güvenliği (BEC) işlemleri ve SharePoint sızıntısı için 80'den fazla API uç noktasını açığa çıkarıyor; bunların tümüne operatörler tarafından React tabanlı bir kontrol paneli aracılığıyla erişilebiliyor." dedi.

DEBULL gibi EvilTokens, saldırganların ele geçirilen Microsoft hesaplarından e-postaları, dosyaları ve diğer hassas verileri sızdırmak için toplanan belirteçleri silah haline getirmesine, Microsoft Graph API aracılığıyla keşif gerçekleştirmesine ve kalıcı erişim oluşturmasına olanak tanır. Ayrıca, toplanan binlerce e-postanın elenmesi, finansla ilgili e-posta dizilerinin belirlenmesi ve BEC e-postalarının taslağının hazırlanması gibi BEC iş akışlarını otomatikleştirmek ve ölçeklendirmek için yapay zeka (AI) destekli özellikler içerir.

ARToken, operatörlerin erişimi sürdürmek, e-posta işlemlerini gerçekleştirmek, OneDrive ve SharePoint'e erişmek ve ARTBrowser olarak bilinen özel bir araç kullanarak panel dışındaki mağdur Microsoft 365 oturumlarına göz atmak için başarılı cihaz kodu kimlik doğrulamasının ardından kurtarılan yakalanan erişim belirtecinden yararlanmasına olanak tanıyan eksiksiz bir uzlaşma sonrası araç seti olarak işlev görür.

Talos araştırmacısı Michael Kelley, "Bu özellikler, platformun basit bir cihaz kodu kimlik avı kitinden daha olgun olduğunu gösteriyor; tam bir BEC operasyon ortamıdır" dedi.

Cihaz kodu kimlik avı saldırılarındaki artış, Tycoon 2FA gibi diğer PhaaS kitlerinin de bir emniyet operasyonunun ardından Microsoft 365 hesaplarını ele geçirme tekniğini benimsemesine yol açtı ve bu da tehdit ortamında daha geniş bir değişimin sinyalini verdi.

eSentire, Mayıs 2026'da şunları kaydetti: "Tycoon 2FA operatörleri, mevcut PhaaS kitlerini OAuth cihaz kodu verme kimlik avı için dağıtım çerçevesi olarak yeniden tasarladılar." "Saldırı, bir kurbanın sahte bir e-postadaki Trustifi tıklama izleme URL'sini tıklatmasıyla başlar ve kurbanın, Microsoft'un yasal cihaz oturum açma akışı aracılığıyla farkında olmadan saldırgan tarafından kontrol edilen bir cihaza OAuth jetonları vermesiyle sonuçlanır. microsoft.com/devicelogin."

Paylaş: