Microsoft, Node.js İmplantıyla Otelleri Hedefleyen Fotoğraf ZIP Kimlik Avı Kampanyası Konusunda Uyardı Windows

Microsoft, Node.js İmplantıyla Otelleri Hedefleyen Fotoğraf ZIP Kimlik Avı Kampanyası Konusunda Uyardı

Microsoft, aktif bir kimlik avı kampanyasının, Nisan 2026'dan bu yana Avrupa ve Asya'daki otel ve diğer konaklama kuruluşlarını hedef aldığını, fotoğr...

Microsoft, aktif bir kimlik avı kampanyasının, Nisan 2026'dan bu yana Avrupa ve Asya'daki otel ve diğer konaklama kuruluşlarını hedef aldığını, fotoğraf temalı ZIP dosyalarını kullanarak bir Node.js implantı yerleştirip ön büro makinelerine girdiğini söylüyor.

Şirket, bu faaliyeti bilinen bir tehdit aktörüne bağlamadı ve operatörlerin nihai hedefi hâlâ belirsiz.

Cazibesi otellerin çalışma şekliyle oynuyor. Kimlik avı e-postaları "Rezervasyon Yöneticisi (Calendly aracılığıyla)" görünen adını taşır ve misafir şikayetlerine, tahtakurusu istilalarına, oda sorgularına, sağlık denetimlerine ve konaklama değerlendirmelerine atıfta bulunur.

Yemler Japonca, Danca ve Hollandaca dillerinde geliyordu; en yaygın olanı ise Japoncaydı. Konu satırında herhangi bir alıcı veya mülk belirtilmez; bu da özel hedef odaklı kimlik avı yerine yüksek hacimli, liste odaklı gönderime işaret eder. Baskı itibara yöneliktir: şikayetler, son uyarılar, denetim tehditleri.

Teslimat işin ilginç kısmı. Operatörler, mesajları Calendly'nin e-posta bildirim sistemi ve Microsoft'un kimlik doğrulama aklama olarak adlandırdığı bir numara olan Google'ın URL yönlendirme hizmeti aracılığıyla yönlendiriyor. Doğrudan Calendly yolu üzerinden gönderilen e-postalar SPF, DKIM ve DMARC'yi geçer çünkü bunlar gerçekten yetkili altyapıdan gönderilir.

Kontroller gönderenin gönderim yapmasına izin verildiğini doğrular. Mesajın ne için olduğu hakkında hiçbir şey söylemiyorlar. Daha sonra çok atlamalı bir zincir, kurbanı bir Calendly bağlantısından share.google ve bir Google yönlendirmesi aracılığıyla yeni kaydedilmiş, Cloudflare ön cepheli bir .cfd alanına yönlendirir. Bu alan, anti-analiz olarak ikiye katlanan bir Turnike mücadelesinin arkasında oturuyor.

Tıkladığınızda hedef, fotoğraf-.zip adlı bir dosyayı indirir. İçeride resim gibi görünen bir kısayol var: İlk dalgada IMG-.png.lnk, ikinci dalgada PHOTO-.png.lnk.

Bunu açmak PowerShell'i ateşler. Komut dosyası, gizli bir indirme URL'sinin kodunu çözmek için BigInt aritmetiğini kullanır, bir .ps1 dosyasını %TEMP%'ye çeker ve meşru bir Node.js v24.13.0 çalışma zamanını nodejs.org'dan kullanıcı alanına bırakır ve bu daha sonra JavaScript implantını çalıştırır. Sistem çapında Node kurulumuna gerek yoktur.

İmplant TonRAT olarak takip edilir. C2 alanlarını TON blockchain API'si aracılığıyla çözer ve ardından SOC Prime'a göre şifrelenmiş bir WebSocket kanalı açar. Alan adlarını anında almak, statik engellenenler listelerini daha az kullanışlı hale getirir.

Güvenliği ihlal ettikten sonra, implant standart olmayan bağlantı noktaları üzerinden sabit IP'lere işaret etti: 8443, 8445, 8453, 5555 ve 56001 ila 56003. Bazı ana bilgisayarlar ayrıca başsız tarayıcı otomasyonu (--headless --no-sandbox), bir ip-api.com coğrafi konum kontrolü ve cmd /c kapatma -s -t 0 yoluyla zorunlu kapatma gösterdi. Microsoft, onaylanmış veri hırsızlığı bildirmedi, fidye yazılımı veya adlandırılmış kurbanlar.

Tam düzeltmenin her iki kalıcılık yoluna da ulaşması gerekir: ProgramData ve Node.js Run anahtarını işaret eden RunOnce girişinin yanı sıra AppData\Local\Nodejs altındaki çalışma zamanı ve .js dosyaları. Birini çekmek diğerini hayatta bırakır. Resepsiyon, rezervasyon ve ön büro sistemleri ilk bakılacak yerlerdir.

Kampanya yeni değil. SOC Prime ve ITOCHU aynı otel kimlik avını ve LNK-to-PowerShell-to-Node.js zincirini yaklaşık iki hafta önce belgeledi ve Microsoft, bulgularının bu raporla örtüştüğünü söylüyor.

Otel personelini hedef alan rezervasyon temalı kimlik avı, Booking.com giriş bilgilerini çalmak için PureRAT'ı devre dışı bırakan ClickFix kampanyaları da dahil olmak üzere sürekli tekrarlanan bir model haline geldi.

Henüz hiçbir raporun cevaplayamadığı şey, bu operatörlerin istediği şey. Erişim dayanıklıdır, temizleme işleminde hata yapmak kolaydır ve son yük sabitlenmemiştir. Bu, bunu başka bir rezervasyon temalı kimlik avından daha fazlası olarak ele almak için yeterlidir.

Paylaş: