Forg365 PhaaS Platformu Microsoft 365'i Hedef Alıyor: Cihaz Kodu ve AitM Oturum Hırsızlığı Siber Güvenlik

Forg365 PhaaS Platformu Microsoft 365'i Hedef Alıyor: Cihaz Kodu ve AitM Oturum Hırsızlığı

Forg365, Microsoft 365 hedefli yeni bir PhaaS operasyonu. Cihaz kodu phishing, AitM taktikleri, yapay zeka destekli tuzaklar ve post-saldırı mailbox i

Siber güvenlik dünyası, Microsoft 365 hesaplarını hedef alan yeni bir phishing-as-a-service (PhaaS) operasyonuyla sarsıldı. 'Forg365' adı verilen bu platform, cihaz kodu phishing, adversary-in-the-middle (AitM) taktikleri, antibot kaçınma, yapay zeka destekli tuzak oluşturma ve post-saldırı mailbox operasyonlarını bir araya getiriyor. Telegram üzerinden dağıtılan ve aylık 400 dolar (yıllık 3.800 dolar) karşılığında satılan bu hizmet, saldırganlara profesyonel düzeyde bir altyapı sunuyor.

Forg365'in saldırı zincirleri, meşru e-posta teslim altyapılarını (Amazon SES ve Twilio SendGrid gibi) kullanarak oluşturulan tuzaklarla başlıyor. Bu tuzaklar, normal e-posta trafiğine karışarak Forg365 kontrolündeki alan adlarına yönlendirme yapıyor. ZeroBEC tarafından yapılan analize göre, platformun kontrol paneli hesaplar, bağlantılar, davetiyeler, OAuth uygulama yapılandırması, yönlendirme bağlantıları, SVG oluşturma, kampanya gönderme, SMTP profilleri ve rotasyonu, yapay zeka e-posta oluşturma, token vaulting, hesap istihbaratı, anahtar kelime uyarıları, görüntüleme bağlantıları ve tarayıcı eklenti desteği gibi olgun bir operatör iş akışı sunuyor.

Forg365, Kali365 (Octopi365 ve Freedom365 olarak da bilinir) ve Sneaky 2FA ekosistemine benzer bir PhaaS kiti olarak tanımlanıyor. Bu platform, tuzak oluşturma, teslimat, kaçınma, token/oturum yönetimi ve post-saldırı operasyonlarını abonelik tabanlı bir yapı altında birleştirerek, teknik bilgisi az olan tehdit aktörlerinin bile minimum çabayla büyük ölçekli phishing kampanyaları düzenlemesine olanak tanıyor. Saldırganlar, iş belgesi temalı veya ödeme onayı tuzakları kullanarak kurbanları kötü amaçlı bağlantılara tıklamaya ikna ediyor.

Forg365'in dikkat çekici bir özelliği, cihaz kodu phishing dalını içermesi. Bu yöntemde, kurbana Microsoft tarzı bir doğrulama kodu sayfası gösterilerek meşru Microsoft Authentication Broker oturum açma akışına yönlendiriliyor. Kurban gerçek Microsoft kimlik doğrulama yüzeylerini görse de, kod saldırgan kontrolündeki bir oturumu yetkilendiriyor. AitM phishing için platform, rota tokenları, oturum çerezleri ve trafik sınıflandırması kullanarak phishing içeriğini mi yoksa masum bir tuzak mı sunacağına karar veriyor. VPN bağlantısı tespit edilirse, kit phishing sayfalarını göstermek yerine masum içeriğe yönlendiriyor.

Uzmanların Görüşleri

Forg365'in bir diğer yenilikçi yanı, Chromium tabanlı tarayıcılar (Google Chrome, Microsoft Edge, Brave) için ForgCookie adlı bir eklenti sunması. Bu eklenti, ele geçirilen hesaplara sürekli erişim sağlamak için tasarlanmış. 'Microsoft hizmetleri için otomatik SSO çerez yenileme' olarak tanımlanan eklenti, token alımı ile tarayıcı erişimi arasında bir köprü görevi görüyor. Adımlar şöyle: Forg365 arka ucundan hesap verisi isteme, seçilen hesap için çerez oluşturma uç noktasını çağırma, Microsoft oturum çerezlerini temizleme, oluşturulan yenileme tokeni kimlik çerezini Microsoft giriş alanına enjekte etme, sessiz OAuth akışını tetikleme ve sonuçta Microsoft çerezlerini yakalama.

Forg365, basit kimlik bilgisi ve token toplamanın ötesine geçerek post-saldırı eylemleri de sunuyor. Bunlar arasında ele geçirilen e-posta hesaplarında belirli anahtar kelimeleri izleme ve yapay zeka yardımıyla belirli bir e-posta dizisine yanıt taslağı oluşturma yer alıyor. ZeroBEC, platformun beceri eşiğini düşürürken operasyonel tutarlılığı artırdığını belirtiyor. Daha az deneyimli ortaklar önceden oluşturulmuş şablonları kullanabilirken, daha yetenekli operatörler açılış sayfalarını özelleştirebiliyor, altyapıyı döndürebiliyor, tokenları yönetebiliyor, çerez materyali oluşturabiliyor ve ele geçirilen hesapları izleyebiliyor.

Bu keşif, aynı dönemde tespit edilen diğer phishing kampanyalarıyla birlikte geldi. Bunlar arasında, ele geçirilmiş üçüncü taraf SaaS hesaplarından sahte Microsoft hesap etkinliği uyarıları göndererek Sneaky 2FA tarzı phishing sayfalarına yönlendirme; Canva üzerinde barındırılan sahte web siteleri aracılığıyla Kali65 kiti kullanarak cihaz kodu phishing yapma; ve IRS, Sosyal Güvenlik İdaresi, Adobe, Microsoft, DocuSign ve Dropbox'ı taklit ederek ConnectWise ScreenConnect gibi meşru uzaktan erişim yazılımlarını dağıtan The Quarry kiti yer alıyor. Ayrıca, Kali365'in Rusya'nın MAX mesajlaşma uygulamasını taklit eden phishing sayfaları dağıttığı ve Rus kullanıcıları hedef aldığı görüldü.

Gelecekte Ne Bekleniyor?

Forg365 ve benzeri PhaaS platformlarının yükselişi, siber suç ekosisteminin endüstrileştiğini gösteriyor. Abonelik tabanlı bu modeller, düşük beceri seviyesindeki saldırganların bile karmaşık saldırılar düzenlemesine olanak tanıyor. Kuruluşların, özellikle Microsoft 365 kullanıcılarının, bu tür gelişmiş phishing tekniklerine karşı farkındalıklarını artırmaları ve çok faktörlü kimlik doğrulama, cihaz kodu phishing'e karşı eğitim ve gelişmiş e-posta güvenlik çözümleri gibi önlemler almaları kritik önem taşıyor. ZeroBEC ve diğer güvenlik firmalarının bu tehditleri sürekli izlemesi, siber güvenlik topluluğunun bu yeni nesil PhaaS operasyonlarına karşı hazırlıklı olmasını sağlıyor.

Kaynak: thehackernews.com

Paylaş: