Evilginx Phishing Operasyonu: Yanlış Yapılandırılmış Sunucu, Üç Microsoft 365 Saldırısını Açığa Çıkarıyor Siber Güvenlik

Evilginx Phishing Operasyonu: Yanlış Yapılandırılmış Sunucu, Üç Microsoft 365 Saldırısını Açığa Çıkarıyor

Yanlış yapılandırılmış bir Python web sunucusu, üç farklı Evilginx phishing operasyonunu ve Microsoft 365 hesaplarına yönelik MFA atlatma yöntemlerini

Bir siber güvenlik firması olan Lexfo, rutin bir internet taraması sırasında, bir saldırganın canlı Microsoft 365 phishing operasyonu yürüttüğü bir sunucu keşfetti. Sunucuda, Python web sunucusunun dizin listeleme özelliği açık bırakılmıştı ve saldırganın tüm araç seti, komut geçmişi ve hedef bilgileri ifşa olmuştu. Bu basit hata, üç farklı phishing operasyonunun ve saldırganların kullandığı yöntemlerin gün yüzüne çıkmasını sağladı.

Keşfedilen sunucu, Evilginx adlı açık kaynak proxy tabanlı phishing aracının özelleştirilmiş sürümlerini barındırıyordu. Saldırganlar, bu aracı kullanarak Microsoft 365 kullanıcılarını hedef alıyor ve çok faktörlü kimlik doğrulamayı (MFA) atlatıyordu. Lexfo, üç farklı operatörün, birbirinden bağımsız olarak Evilginx'in çatallarını (fork) kullandığını ve her birinin farklı tekniklerle MFA'yı aştığını tespit etti.

En büyük operasyon, Mısırlı bir tehdit aktörü olan 'codemado' tarafından yürütülüyordu. Bu saldırgan, Evilginx'in bir çatalını kullanarak kurbanların Microsoft 365 oturum çerezlerini çalıyor ve bu çerezleri bir yıl süreyle geçerli kılıyordu. Lexfo, bu operasyonun bir yıldan uzun süredir devam ettiğini ve çoğunlukla kurumsal e-posta hesaplarını hedef aldığını belirtti.

İkinci operasyon, Nijeryalı bir tehdit aktörü olan 'mail-argenta' tarafından yönetiliyordu. Bu saldırgan, Evilginx'e URL yeniden yazma motoru ve alt kaynak bütünlüğü (SRI) denetimlerini atlatma gibi gelişmiş özellikler eklemişti. Ayrıca, çalınan çerezlerin geçerlilik süresini bir yıl olarak ayarlamıştı. Lexfo, bu operatörün kimlik bilgilerini kendi phishing paneli sayesinde ele geçirdi.

Nasıl Önlem Alınmalı?

Üçüncü ve en sessiz operasyon ise 'saroula01' takma adlı bir tehdit aktörü tarafından yürütülüyordu. Bu saldırgan, Microsoft'un meşru OAuth cihaz kodu akışını (device code flow) kullanarak MFA'yı atlıyordu. Kurbanlar, sahte bir Authenticator temasıyla karşılaşıyor ve gerçek Microsoft oturum açma sayfasında MFA'yı kendileri tamamlıyordu. Bu yöntem, geleneksel MFA atlatma tekniklerinden farklı olarak, hiçbir şeyi bypass etmiyor, meşru bir akışı kötüye kullanıyor.

Gelecekte Ne Bekleniyor?

Lexfo, bu üç operasyonun birbirleriyle bağlantılı olduğunu ve daha büyük bir phishing ekosisteminin parçası olabileceğini düşünüyor. Şirket, bu tür saldırılara karşı korunmak için Microsoft 365 yöneticilerine, koşullu erişim politikalarını güçlendirmelerini, cihaz kodu akışını devre dışı bırakmalarını ve kullanıcıları şüpheli oturum açma sayfalarına karşı eğitmelerini öneriyor.

Kaynak: thehackernews.com

Paylaş: