Microsoft 365 Phishing Operasyonlarını Ortaya Çıkaran Kritik Sunucu Yapılandırma Hatası Yazılım

Microsoft 365 Phishing Operasyonlarını Ortaya Çıkaran Kritik Sunucu Yapılandırma Hatası

Bir Python web sunucusundaki yapılandırma hatası, üç farklı Evilginx tabanlı Microsoft 365 phishing operasyonunu ortaya çıkardı.

Bir siber saldırganın Microsoft 365 oltalama operasyonu, basit bir hata yüzünden çöktü. Fransız güvenlik firması Lexfo, bir Python web sunucusunun 8080 portunda açık olduğunu ve dizin listelemenin aktif olduğunu keşfetti. Sunucudaki .bash_history dosyasında hala `python3 -m http.server 8080` komutu duruyordu. Bu dikkatsizlik, saldırganın tüm araç setini ortaya çıkardı ve Lexfo'nun üç farklı phishing kampanyasını birbirine bağlamasını sağladı.

Her üç kampanya da açık kaynaklı Evilginx proxy'sinin özel çatallarını kullanıyordu. En büyük kampanya bir yıldan uzun süredir aktifti ve hedefi ağırlıklı olarak kurumsal e-posta kutularıydı. Bu saldırılar, MFA'yı (çok faktörlü kimlik doğrulama) iki farklı mekanik yöntemle aşmayı başardı. İlki canlı oturum açma işlemini proxy üzerinden yönlendirirken, ikincisi Microsoft'un meşru oturum açma akışını kötüye kullanıyordu. Bu fark, Microsoft 365 yöneticileri için kritik öneme sahip: her iki tehdit için farklı savunma stratejileri gerekiyor.

Dizin listeleme, çalışan bir saldırı sunucusunda neredeyse bir itiraf niteliği taşıyordu. Listeleme, phishing konfigürasyonlarını, kimlik bilgisi toplama kayıtlarını, RMM yükleyicilerini, combo listelerini, yedek arşivlerini ve saldırganın kendi Telegram oturum dosyalarını açığa çıkardı. Sunucuda ayrıca bir Evilginx ortadaki-adam proxy'si ve bir SimpleHelp uzak konsolu çalışıyordu. Sunucu, Budapeşte'deki 185.163.204[.]7 IP adresindeydi ve Nisan 2026'da rutin bir internet taraması sırasında tespit edildi.

Nasıl Önlem Alınmalı?

Bash geçmişi ve bir dizi genel depo, saldırganın kimliğini ortaya çıkardı: Mısırlı bir aktör. Firma, bu aktörü `codemado` koduyla takip ediyor. codemado, 2018'den beri VoIP ve hacker forumlarında aktif, şu anda picis[.]net üzerinde bir Microsoft 365 AiTM platformu işletiyor ve erişimi, kendi yazdığı MaDoO Blaster adlı toplu e-posta gönderici aracılığıyla paraya çeviriyor. Kampanyası 20 Nisan'da başladı ve 30 Nisan'da dizin keşfedildikten sonra bile devam etti. Yeni alt alan adları ve yenilenen wildcard sertifikaları haftalar sonra ortaya çıktı. Kendi botu, biri Fransız, diğeri Kuzey Amerikalı iki kurumsal M365 hesabına karşı yakalamalar kaydetti. Aynı hesapların farklı IP'lerden tekrar tekrar yakalanması, firmanın belirttiğine göre, saldırganın süresi dolan token'ları yenilemesiyle tutarlı.

Uzmanların Görüşleri

codemado, kullandığı çerçeveyi sıfırdan yazmamıştı; onu klonlamıştı. Bash geçmişi, farklı kitleri yan yana karşılaştırdığını gösteriyor. Sunucuda, iki farklı GitHub geliştiricisinden alınmış dört Evilginx varyantı bulunuyordu ve her iki geliştiricinin de aktif operatörler olduğu ortaya çıktı. İlk varyant olan `red-queen`, Nijeryalı bir operatörden (mail-argenta) geliyor. Bu fork, crossorigin ve integrity HTML özelliklerini yeniden adlandırarak Subresource Integrity kontrollerini atlatıyor, http_proxy.go'ya URL yeniden yazma motoru ekleyerek yol tabanlı algılamayı önlüyor ve kurbanın e-posta adresini önceden doldurarak terk oranını düşürüyor. Ayrıca, yakalanan Microsoft oturum çerezlerine bir yıllık TTL (31.536.000 saniye) ayarlıyor. Rapor, bu sayede ele geçirilen bir oturumun şifre sıfırlamasından daha uzun süre dayanabileceğini ve CAE özellikli bir Koşullu Erişim politikası yoksa aylarca kullanılabileceğini belirtiyor. Depoda önceden derlenmiş bir evilginx2.exe dosyası var, bu sayede alıcı hiçbir şey derlemek zorunda kalmıyor. Depoda bulunan bir M365 çerezinin son kullanma tarihi 30 Haziran 2027.

Detaylar ve Etkileri

mail-argenta, kendi kurbanlarıyla aynı şekilde yakalandı. Firma, e-postasını ve şifresini infostealer kayıtlarında buldu. Bu sızdırılmış şifre, Kraken panelindeki MySQL şifresiyle ve hesaplarında yeniden kullanılan şifreyle eşleşiyordu. Üçüncü fork olan `black-queen` ise diğer ikisinden çok daha fazla yakalama yapmıştı ve hiçbir zaman şifre kullanmıyordu. Yazarı (saroula01), Microsoft'un OAuth cihaz kodu akışı etrafında inşa edilmişti. Bu meşru oturum açma yolu, giriş kısıtlaması olan cihazlar için tasarlanmıştır. Saldırı, gerçek bir cihaz kodu oluşturur, onu Authenticator temalı bir yem sayfasına sarar ve kurbana bu kodu gerçek microsoft.com/devicelogin adresine girmesini söyler. Kurban, gerçek bir Microsoft sayfasında oturum açar ve MFA'yı kendisi geçer. saroula01'in arka ucu, token uç noktasını yoklar ve token'ı alır. Buna 'MFA atlatma' demek, nasıl çalıştığını kaçırır: hiçbir şey atlanmaz. Yem sayfası Authenticator temalı ve saldırgan tarafından oluşturulmuş olsa da, cihaz kodu ve kurbanın işlemi tamamladığı Microsoft sayfası gerçektir; bu nedenle kurbanın karşıladığı MFA istemi gerçektir. Bir passkey veya FIDO2 anahtarı da yardımcı olmaz, çünkü kurban, saldırganın oturumunu yetkilendirirken gerçek Microsoft altyapısında bunu geçer; Evilginx'i durduran kaynak bağlama, kaynak gerçekten Microsoft olduğunda sorunsuzca geçer.

Microsoft, bu tekniği Şubat 2025'te, orta güvenle Rusya bağlantılı olduğunu değerlendirdiği bir kampanyada belgelemişti. O zamandan beri, devlet destekli kullanımın çok ötesine yayıldı ve yüzlerce Microsoft 365 kuruluşunu hedef alan kampanyalara dönüştü. saroula01'in versiyonu bir yıldan uzun süre sessizce çalıştı. Firma, Haziran 2025 ile Temmuz 2026 arasında kampanyanın Telegram bot günlüklerinde bir düzine ülkede 218 farklı yakalanmış hesap saydı; bunların yaklaşık %94'ü kurumsal e-posta kutularıydı. Depoya kısa süreliğine eklenip ardından silinen, ancak git geçmişinde hala okunabilen bir token dosyası, bu kurbanlardan üçüne ait 97 canlı Microsoft token'ı içeriyordu; her biri autoRefresh olarak ayarlanmıştı ve bazıları 25 defa yenilenmişti. Çerçeve, oturumları kendi başına canlı tutuyordu.

Sonuç ve Değerlendirme

Her iki phishing alan adı (picis[.]net ve romnor[.]ca), yayından önce The Hacker News tarafından kontrol edildiğinde çevrimdışıydı; ancak raporun zaman çizelgesi, picis[.]net'in Mayıs 2026'ya kadar yeni alt alan adları sağlamaya devam ettiğini gösteriyor. Lexfo CTI ekibi, alan adlarının kendileri herhangi bir işlem yapmadan önce çevrimdışı olduğunu ve bunu, koordineli bir kapatma yerine operatörlerin altyapılarını döndürmesi veya geri çekilmesi olarak yorumladıklarını, ancak hangisi olduğunu doğrulayamadıklarını belirtti. Bu üç kampanya, daha büyük bir yapıya gevşek bir şekilde bağlanıyor. Haziran 2026'da SOCRadar, The Quarry adını verdiği bir phishing-as-a-service ekosistemini belgelemişti ve bu ekosistem, ele geçirilmiş Microsoft 365 oturumlarını kullanarak bir botnet çalıştıran bir aktör tarafından yönetiliyordu. Lexfo'nun analizi, codemado ve mail-argenta'nın bu ekosistemle bağlantılı olabileceğini öne sürüyor. Bu olay, yanlış yapılandırılmış bir sunucunun bile büyük bir güvenlik ihlalini ortaya çıkarabileceğini ve kuruluşların MFA'yı aşan bu tür gelişmiş phishing tekniklerine karşı dikkatli olması gerektiğini gösteriyor.

Kaynak: thehackernews.com

Paylaş: