Yanlış Yapılandırılmış Bir Sunucu, Microsoft 365'i Hedef Alan Üç Evilginx Oltalama Operasyonunu Ortaya Çıkardı Yazılım

Yanlış Yapılandırılmış Bir Sunucu, Microsoft 365'i Hedef Alan Üç Evilginx Oltalama Operasyonunu Ortaya Çıkardı

Bir saldırganın yanlış yapılandırdığı web sunucusu, Microsoft 365'i hedef alan üç büyük Evilginx oltalama operasyonunu gün yüzüne çıkardı. İşte detayl

Fransız siber güvenlik firması Lexfo, rutin bir internet taraması sırasında Budapeşte merkezli bir sunucuda (185.163.204[.]7) şaşırtıcı bir güvenlik açığı keşfetti. Saldırgan, Python ile başlattığı bir HTTP sunucusunda dizin listeleme özelliğini açık bırakmıştı. 'python3 -m http.server 8080' komutunun .bash_history dosyasında durduğu bu sunucu, aslında Microsoft 365 kullanıcılarını hedef alan bir Evilginx oltalama operasyonunun komuta merkeziydi. Lexfo araştırmacıları, bu hatadan yola çıkarak saldırganın tüm araç setine ve iki farklı operatöre daha ulaştı; böylece toplamda üç ayrı oltalama kampanyası ortaya çıkarıldı.

En büyük kampanya bir yıldan uzun süredir aktifti ve kurbanların büyük çoğunluğu kurumsal e-posta kutularıydı. Bu kampanyanın arkasındaki Mısırlı operatör (codemado olarak izleniyor), Evilginx'in açık kaynak kodlu bir fork'unu kullanarak picis[.]net alan adı üzerinden Microsoft 365 kimlik avı platformu işletiyordu. Lexfo'nun raporuna göre, bu operatör aynı zamanda MaDoO Blaster adlı bir toplu e-posta programı yazarak ele geçirdiği erişimleri paraya çeviriyordu. Kampanya Nisan 2026'da başlamış ve dizin listeleme keşfedildikten sonra bile haftalarca yeni alt alan adları ve sertifikalarla devam etmişti.

Üç kampanyanın ortak noktası, Microsoft 365'in çok faktörlü kimlik doğrulamasını (MFA) atlatmak için kullandıkları iki farklı teknikti. İlk teknik, klasik bir ortadaki adam (AiTM) saldırısıydı: Evilginx, hedef kullanıcıyı sahte bir Microsoft 365 giriş sayfasına yönlendiriyor, kullanıcı adı ve şifreyi gerçek sunucuya ileterek oturum çerezlerini çalıyordu. Bu yöntem, güçlü bir Koşullu Erişim politikası olmayan ortamlarda, çalınan çerezlerin bir yıl boyunca geçerli kalmasına olanak tanıyordu.

İkinci teknik ise çok daha sofistikeydi ve Microsoft'un OAuth Aygıt Kodu akışını kötüye kullanıyordu. 'black-queen' adlı bu fork, hedef kullanıcıya Microsoft Authenticator benzeri bir sayfa göstererek gerçek bir aygıt kodu oluşturuyor ve kullanıcıdan bu kodu microsoft.com/devicelogin adresine girmesini istiyordu. Kullanıcı, gerçek Microsoft sayfasında oturum açıp MFA'yı kendisi onaylıyordu. Bu yöntemde MFA atlanmıyor, aksine kullanıcı MFA'yı kendi elleriyle geçiyordu. FIDO2 gibi donanım anahtarları bile bu saldırıya karşı etkisizdi çünkü kullanıcı gerçek Microsoft altyapısına güveniyordu.

Lexfo, 'saroula01' rumuzlu operatörün geliştirdiği bu tekniğin bir yıldan uzun süredir sessizce çalıştığını tespit etti. Haziran 2025 ile Temmuz 2026 arasında, on iki ülkeden 218 farklı hesabın çalındığı ve bunların %94'ünün kurumsal posta kutuları olduğu belirlendi. Git geçmişinde bulunan bir token dosyasında, üç kurbana ait 97 canlı Microsoft token'ı bulunuyordu ve bunların her biri otomatik yenileme (autoRefresh) özelliğine sahipti. Bu, framework'ün oturumları kendi başına canlı tuttuğunu gösteriyordu.

Detaylar ve Etkileri

Saldırganların kullandığı alan adları (picis[.]net ve romnor[.]ca) haber yayına hazırlanırken kapatılmıştı. Lexfo, bunun bir koordineli müdahaleden ziyade operatörlerin altyapı değişikliği veya geri çekilmesi olduğunu düşünüyor. Bu üç kampanya, daha büyük bir phishing-as-a-service ekosisteminin parçası olabilir. Nitekim, Haziran 2026'da SOCRadar, 'The Quarry' adlı bir hizmeti belgelemişti. Microsoft 365 yöneticileri için en önemli çıkarım, MFA'nın tek başına yeterli olmadığıdır. Koşullu Erişim politikaları, oturum çerezi yaşam süresi sınırlamaları ve aygıt kodu akışı gibi meşru akışların izlenmesi hayati önem taşımaktadır.

Kaynak: thehackernews.com

Paylaş: