Forg365 PhaaS Platformu: Microsoft 365 Hesaplarını Hedef Alan Yeni Nesil Kimlik Avı Tehdidi Yazılım

Forg365 PhaaS Platformu: Microsoft 365 Hesaplarını Hedef Alan Yeni Nesil Kimlik Avı Tehdidi

Forg365, Microsoft 365 hesaplarını hedef alan yeni bir PhaaS platformu. Cihaz kodu phishing, AitM ve AI destekli tuzaklarla çalışıyor.

Siber güvenlik dünyasında her geçen gün daha sofistike tehditler ortaya çıkıyor. Son olarak Forg365 adlı yeni bir Phishing-as-a-Service (PhaaS) platformu, Microsoft 365 kullanıcılarını hedef alan kapsamlı saldırı yetenekleriyle dikkat çekiyor. Bu platform, cihaz kodu phishing (device code phishing), adversary-in-the-middle (AitM) taktikleri, antibot kaçınma, yapay zeka destekli tuzak oluşturma ve post-sömürü posta kutusu işlemlerini bir araya getiriyor. Telegram üzerinden dağıtılan ve aylık 400 dolar (yıllık 3.800 dolar) gibi bir maliyeti olan Forg365, düşük teknik bilgiye sahip saldırganların bile büyük ölçekli phishing kampanyaları düzenlemesine olanak tanıyor.

Forg365'in saldırı zinciri, meşru e-posta teslim altyapısını kullanarak dikkat çekiyor. Amazon Simple Email Service (Amazon SES) ve Twilio SendGrid gibi hizmetler aracılığıyla gönderilen tuzak e-postalar, sıradan trafiğe karışarak güvenlik duvarlarını aşıyor. ZeroBEC tarafından yapılan analize göre, platformun operatör paneli oldukça olgun bir iş akışı sunuyor: hesaplar, bağlantılar, davetiyeler, OAuth uygulama yapılandırması, yönlendirme bağlantıları, SVG oluşturma, kampanya gönderme, SMTP profilleri, SMTP rotasyonu, AI e-posta oluşturma, token saklama, hesap istihbaratı, anahtar kelime uyarıları, görüntüleme bağlantıları ve tarayıcı eklentisi desteği gibi özellikler bulunuyor.

Forg365, Kali365 (Octopi365 ve Freedom365 olarak da bilinir) ve Sneaky 2FA ekosistemine benzer bir yapıya sahip. Bu, iş modelinin endüstriyelleştiğini gösteriyor: tuzak oluşturma, teslimat, kaçınma, token/oturum yönetimi ve post-sömürü işlemleri abonelik tabanlı bir sistemde birleştirilmiş. Saldırganlar, teknik uzmanlık gerektirmeden minimum çabayla büyük ölçekli kampanyalar yürütebiliyor. Örneğin, iş belgesi temalı veya havale onayı tuzakları kullanılarak hedefler kötü niyetli bağlantılara tıklamaya yönlendiriliyor. Gönderen alan adı Amazon SES üzerinden teslimat yaparken, mesaj gövdesi SendGrid'de barındırılan resimler veya izleme kaynakları içeriyor.

Forg365'in en dikkat çekici özelliklerinden biri, cihaz kodu phishing dalı. Bu yöntemde, Microsoft tarzı bir doğrulama kodu sayfası gösterilerek kurban meşru Microsoft Authentication Broker oturum açma akışına yönlendiriliyor. Kurban gerçek Microsoft kimlik doğrulama yüzeylerini görüyor, ancak kod saldırgan kontrolündeki bir oturumu yetkilendiriyor. AitM phishing için ise platform, rota token'ları, oturum çerezleri ve trafik sınıflandırması kullanıyor. VPN bağlantısı tespit edilirse, phishing sayfaları yerine zararsız tuzak içerik gösteriliyor. Bu sayede güvenlik araştırmacıları ve otomatik tarayıcılar atlatılıyor.

Forg365'in bir diğer yenilikçi özelliği, Chromium tabanlı tarayıcılar (Google Chrome, Microsoft Edge, Brave) için geliştirilen ForgCookie eklentisi. Bu eklenti, 'Microsoft hizmetleri için otomatik SSO çerez yenileme' olarak tanımlanıyor ve token alımı ile tarayıcı erişimi arasında aracı görevi görüyor. İşleyişi şu adımlardan oluşuyor: Forg365 arka ucundan hesap verisi talep etme, seçilen hesap için çerez oluşturma uç noktasını çağırma, Microsoft oturum çerezlerini temizleme, oluşturulan yenileme token'ı çerezini Microsoft giriş alanına enjekte etme, sessiz OAuth akışı başlatma ve sonuçta Microsoft çerezlerini yakalama. Bu sayede saldırgan, kurbanın oturumunu kalıcı olarak ele geçirebiliyor.

Forg365, sadece kimlik bilgisi ve token hırsızlığıyla kalmıyor, post-sömürü işlemleri için de kapsamlı yetenekler sunuyor. Ele geçirilen e-posta hesaplarında belirli anahtar kelimeleri izleme ve AI yardımıyla belirli e-posta konularına yanıt taslağı oluşturma gibi işlemler yapılabiliyor. ZeroBEC'in belirttiği gibi, 'Sonuç, beceri eşiğini düşürürken operasyonel tutarlılığı artıran bir platform. Daha az deneyimli iştirakçiler önceden oluşturulmuş şablonları kullanabilirken, daha yetenekli operatörler açılış sayfalarını özelleştirebiliyor, altyapıyı döndürebiliyor, token'ları yönetebiliyor, çerez materyali oluşturabiliyor ve ele geçirilen hesapları izleyebiliyor.'

Forg365'in ortaya çıkışı, diğer phishing kitleriyle ilgili kampanyaların keşfiyle aynı döneme denk geldi. Örneğin, ele geçirilmiş üçüncü taraf SaaS hesapları üzerinden sahte Microsoft hesap etkinlik uyarıları gönderilerek kullanıcılar Sneaky 2FA tarzı phishing sayfalarına yönlendiriliyor. Ayrıca, Kali365 kiti kullanılarak Canva'da barındırılan web siteleri aracılığıyla cihaz kodu phishing akışı başlatılıyor. Kali365, 33'ten fazla farklı tuzak, ödeme hattı ve OctoLink Live adlı bir masaüstü uygulaması sunuyor. Bu uygulama, çalınan token'ı kullanarak Chromium tarayıcı oturumu başlatıyor ve kurbanın posta kutusunu OWA, OneDrive, SharePoint veya admin.microsoft.com üzerinden açıyor. Ayrıca OctoLink Sender aracıyla, ele geçirilen hesaptan diğer kişilere toplu phishing e-postaları gönderilebiliyor (yanal phishing).

Uzmanların Görüşleri

Tüm bu gelişmeler, phishing-as-a-service ekosisteminin ne kadar hızlı evrildiğini ve kuruluşların bu tehditlere karşı hazırlıklı olması gerektiğini gösteriyor. Forg365 gibi platformlar, yapay zeka ve otomasyonu kullanarak saldırıları daha etkili hale getiriyor. Kullanıcıların ve şirketlerin, çok faktörlü kimlik doğrulama (MFA) kullanmaları, şüpheli e-postalara karşı dikkatli olmaları ve güvenlik farkındalığı eğitimlerini güncellemeleri kritik önem taşıyor. Ayrıca, cihaz kodu phishing gibi yeni saldırı vektörlerine karşı koruma sağlayan güvenlik çözümleri ve düzenli güvenlik taramaları da hayati rol oynuyor.

Kaynak: thehackernews.com

Paylaş: