Evilginx Operasyonları Deşifre Oldu: Yanlış Yapılandırılmış Bir Sunucu Üç Büyük Phishing Kampanyasını Ortaya Çıkardı Yazılım

Evilginx Operasyonları Deşifre Oldu: Yanlış Yapılandırılmış Bir Sunucu Üç Büyük Phishing Kampanyasını Ortaya Çıkardı

Yanlış yapılandırılmış bir Python sunucusu, üç farklı Evilginx tabanlı Microsoft 365 phishing operasyonunu ifşa etti. MFA'yı iki farklı yöntemle aşan

Bir siber güvenlik araştırması, yanlış yapılandırılmış bir Python web sunucusu sayesinde üç büyük Evilginx phishing operasyonunu ortaya çıkardı. Fransız güvenlik firması Lexfo, rutin bir internet taraması sırasında 185.163.204[.]7 adresinde çalışan bir sunucuda dizin listelemesinin açık olduğunu fark etti. Bu sunucu, bir Microsoft 365 phishing operasyonu yürüten bir saldırgana aitti ve `python3 -m http.server 8080` komutunun hala `.bash_history` dosyasında okunabilir durumda olması, araştırmacılara tüm araç setine erişim sağladı.

Lexfo, bu zafiyetten yola çıkarak üç farklı phishing operasyonunu deşifre etti. Her biri, açık kaynak Evilginx proxy'sinin özel bir çatalını kullanıyordu. En büyük kampanya bir yılı aşkın süredir aktifti ve kurbanlarının büyük çoğunluğu kurumsal e-posta hesaplarıydı. Bu üç kampanya, çok faktörlü kimlik doğrulamayı (MFA) iki farklı mekanik yöntemle aşıyordu: biri canlı oturum açma işlemini proxy'leyerek, diğeri ise Microsoft'un meşru oturum açma akışını kötüye kullanarak.

Dizin listeleme, çalışan bir saldırı sunucusunda neredeyse tam bir itiraf niteliğindeydi. Liste, phishing yapılandırmalarını, kimlik bilgisi toplama günlüklerini, RMM yükleyicilerini, kombolistleri, yedek arşivleri ve operatörün kendi Telegram oturum dosyalarını ortaya çıkardı. Aynı sunucuda bir Evilginx ortadaki adam proxy'si ve bir SimpleHelp uzak konsolu çalışıyordu. Bash geçmişi ve bir dizi genel depo, operatörün kimliğini doğrudan gösteriyordu: 2018'den beri VoIP ve hacking forumlarında aktif olan, 'codemado' olarak izlenen Mısırlı bir aktör.

Sistem Güvenliği

codemado, picis[.]net üzerinde bir Microsoft 365 AiTM platformu işletiyor ve erişimi, yazdığı MaDoO Blaster adlı toplu posta yazılımı aracılığıyla paraya çeviriyordu. Kampanyası 20 Nisan'da başladı ve dizinin bulunduğu 30 Nisan'dan sonra bile devam etti. Kendi botu, biri Fransız diğeri Kuzey Amerikalı iki kurumsal M365 hesabına karşı yakalamalar kaydetti. Aynı hesapların farklı IP'lerden tekrar tekrar yakalanması, operatörün süresi dolan token'ları yenilediğini gösteriyor.

Uzmanların Görüşleri

codemado, kullandığı çerçeveyi kendisi oluşturmamıştı. GitHub'daki iki farklı geliştiriciden çektiği dört Evilginx varyantı vardı ve her ikisinin de kendi başlarına aktif operatörler olduğu ortaya çıktı. Bunlardan ilki olan 'red-queen', Nijeryalı bir operatöre (mail-argenta) aitti ve kamuya açık çerçeveye eklenen cilayı gösteriyordu. Çatal, crossorigin ve integrity HTML niteliklerini yeniden adlandırarak Subresource Integrity kontrollerini atlıyor ve http_proxy.go'ya URL yeniden yazma motoru ekleyerek yol tabanlı algılamadan kaçıyordu. Ayrıca, kurbanın e-posta adresini önceden doldurarak terk oranını düşürüyordu.

En dikkat çekici olanı ise 'black-queen' çatalıydı. saroula01 kullanıcı adıyla bilinen bu operatör, Microsoft'un OAuth cihaz kodu akışını kullanarak şifreye hiç dokunmadan çalışıyordu. Saldırı, gerçek bir cihaz kodu oluşturuyor, bunu Authenticator temalı bir tuzak sayfasına sarıyor ve kurbanı gerçek microsoft.com/devicelogin adresine yönlendiriyordu. Kurban, gerçek Microsoft sayfasında oturum açıp MFA'yı kendisi geçiyordu. Bu yöntem, MFA'yı atlamak yerine tamamen meşru bir akışı kötüye kullanıyordu. Microsoft, bu tekniği Şubat 2025'te belgelemişti ve o zamandan beri devlet destekli kullanımın ötesine geçerek yüzlerce Microsoft 365 kuruluşunu hedef alan kampanyalara yayıldı.

saroula01'in versiyonu bir yıldan fazla sessizce çalıştı. Lexfo, kampanyanın Telegram bot günlüklerinde Haziran 2025 ile Temmuz 2026 arasında bir düzine ülkeden 218 farklı yakalanmış hesap tespit etti; bunların yaklaşık %94'ü kurumsal posta kutularıydı. Depoya işlenen ve ardından silinen bir token dosyası, git geçmişinde hala okunabilir durumdaydı ve üç kurbana ait 97 canlı Microsoft token'ı içeriyordu. Her biri autoRefresh olarak ayarlanmıştı ve bazıları 25 kez yenilenmişti. Çerçeve, oturumları kendi başına canlı tutuyordu.

Sonuç ve Değerlendirme

Her iki kimlik avı alan adı (picis[.]net ve romnor[.]ca) yayın öncesinde çevrimdışıydı. Lexfo CTI ekibi, alan adlarının herhangi bir işlem yapmadan önce çevrimdışı olduğunu ve bunun operatörlerin altyapıyı döndürdüğü veya geri çekildiği anlamına gelebileceğini belirtti. Bu üç kampanya, daha büyük bir phishing-as-a-service ekosistemine bağlı olabilir. Haziran 2026'da SOCRadar, 'The Quarry' adlı bir hizmeti belgelemişti. Bu olay, Microsoft 365 kullanıcıları için MFA'nın tek başına yeterli olmadığını, Koşullu Erişim politikaları ve token koruması gibi ek önlemlerin gerekliliğini bir kez daha ortaya koyuyor.

Kaynak: thehackernews.com

Paylaş: