Yanlış Yapılandırılmış Bir Sunucu, Üç Evilginx Dolandırıcısının Tüm Araç Setini Açığa Çıkardı Windows

Yanlış Yapılandırılmış Bir Sunucu, Üç Evilginx Dolandırıcısının Tüm Araç Setini Açığa Çıkardı

Yanlış yapılandırılmış bir sunucu, üç ayrı Evilginx operatörünün tüm araç setini ve 218 kurbanın verilerini açığa çıkardı. İşte MFA'yı aşan yeni tehdi

Fransız güvenlik firması Lexfo tarafından yapılan yeni bir araştırma, yanlış yapılandırılmış bir sunucunun üç aktif kimlik avı operatörünün tüm araç setini açığa çıkardığını ortaya koydu. Nisan ayı sonlarında Budapeşte'deki bir VPS üzerinde çalışan Python HTTP sunucusu, dizin listeleme özelliği açık bırakılmıştı. Bu sayede kimlik avı yapılandırmaları, kimlik bilgisi günlükleri, uzaktan yönetim yükleyicileri ve operatörün kendi Telegram oturum dosyaları okunabilir hale geldi. Sunucunun arkasında, kurumsal Microsoft 365 hesaplarına karşı Evilginx tabanlı bir ortadaki düşman platformu çalıştıran codemado takma adlı bir tehdit aktörü bulunuyordu.

Codemado, Mısırlı bir operatör olarak 2018'den beri hacker forumlarında aktifti. Sunucuda sadece kimlik avı proxy'si değil, aynı zamanda ScreenConnect ve SimpleHelp dahil yedi araçlık bir uzaktan izleme ve yönetim (RMM) cephaneliği ve kendi geliştirdiği MaDoO Blaster adlı toplu e-posta gönderme aracı da bulunuyordu. Diğer iki operatör, codemado'nun klonladığı Evilginx çatalları aracılığıyla ortaya çıktı. Lexfo, paylaşılan kodun koordinasyonu kanıtlamadığını belirtti.

Mail-argenta adlı ikinci operatör, yeniden kullanılan kimlik bilgileri içeren bilgi çalıcı günlükleri aracılığıyla tespit edildi. Özellikle bir kimlik avı paneline sabit kodlanmış MySQL şifresi, Nijeryalı bir bireye işaret ediyordu. Üçüncü operatör saroula01 ise, meşru bir Microsoft özelliği olan OAuth Aygıt Kodu Akışı'nı kötüye kullanan bir çerçeve oluşturmuştu. Bu yöntemde kurban, gerçek bir Microsoft sayfasında işlemi tamamlarken, saldırganın arka ucu token'ı ele geçiriyordu.

Teknik Analiz

Saroula01'in operasyonu en büyüğüydü. Lexfo, git geçmişinden silinmiş bir yapılandırma dosyasını yeniden oluşturdu ve bot zaman damgaları kampanyanın Haziran 2025'e kadar uzandığını gösterdi; yani bir yıldan fazla süredir kesintisiz devam ediyordu. Bu sürede 12 ülkede 218 doğrulanmış kurban toplanmıştı; bunların yaklaşık %94'ü kurumsal hesaplardı. Ele geçirilen token'lar arka planda otomatik olarak yenileniyor ve bazıları 25 defaya kadar sessizce yenilenmişti.

Her üç operatörde de ortak bir nokta, araç setlerini oluşturmak için üretken yapay zeka kullanmalarıydı. Saroula01'in commit'lerinde AI ortak yazar meta verileri ve mail-argenta'nın deposunda kaydedilmiş bir geliştirme oturumu buna işaret ediyordu. Lexfo ayrıca codemado'nun MaDoO Blaster'ını, SOCRadar tarafından belgelenen ve RockyBelling adlı bir aktör tarafından işletilen The Quarry hizmetine bağladı. RockyBelling, aracı müşterilerine tanıtıyordu.

Lexfo, işlevsel bir AiTM kampanyası yürütme eşiğinin neredeyse sıfıra düştüğünü belirtti. Bileşenler GitHub'da ücretsiz veya Telegram'da birkaç yüz dolara satılıyor. Şirket, savunmacıları herhangi bir aktörün MFA'yı oturum ele geçirme veya Aygıt Kodu Akışı kötüye kullanımı yoluyla aşabileceğini varsaymaya ve gerekli olmayan yerlerde aygıt kodu kimlik doğrulamasını devre dışı bırakmaya çağırdı.

Kaynak: infosecurity-magazine.com

Paylaş: