Fransız güvenlik firması Lexfo'nun yaptığı araştırma, Budapeşte'deki bir sanal özel sunucuda çalışan ve dizin listelemesi açık bırakılan bir Python HTTP sunucusunun, üç farklı oltalama operatörüne ait kritik altyapıyı ifşa ettiğini ortaya koydu. Sunucuda, Evilginx tabanlı bir adversary-in-the-middle (AiTM) platformu kullanan codemado takma adlı tehdit aktörüne ait oltalama yapılandırmaları, kimlik bilgisi kayıtları, uzaktan yönetim araçları ve Telegram oturum dosyaları bulunuyordu. Bu açık dizin, siber güvenlik dünyasında nadir rastlanan bir fırsat sunarak, aktif bir oltalama ekosisteminin iç işleyişini gün yüzüne çıkardı.
Sunucudaki yapay izler, codemado'nun 2018'den beri hacker forumlarında aktif olan Mısırlı bir operatörle bağlantılı olduğunu gösterdi. codemado, Evilginx proxy'sine ek olarak ScreenConnect ve SimpleHelp gibi yedi farklı uzaktan izleme ve yönetim (RMM) aracını barındırıyordu. Ayrıca, kendi geliştirdiği MaDoO Blaster adlı toplu e-posta gönderme aracını da kullanıyordu. Diğer iki operatör ise codemado'nun klonladığı Evilginx çatalları (fork) aracılığıyla tespit edildi. Lexfo, bu bağlantının teknik düzeyde kaldığını ve kod paylaşımının operasyonel bir işbirliğini kanıtlamadığını belirtti.
İkinci operatör mail-argenta, bilgi çalan yazılım (infostealer) kayıtlarında yeniden kullanılan kimlik bilgileriyle tespit edildi. Özellikle bir oltalama panosuna sabit kodlanmış MySQL şifresi, bu operatörün Nijeryalı bir birey olduğuna işaret ediyor. Üçüncü operatör saroula01 ise Microsoft'un meşru bir özelliği olan OAuth Aygıt Kodu Akışı'nı kötüye kullanan bir çerçeve geliştirmişti. Bu teknikte, kurban meşru bir Microsoft sayfasında kimlik doğrulamasını tamamlarken, saldırganın arka ucu token'ı ele geçiriyor.
Sonuç ve Değerlendirme
Lexfo, saroula01'in operasyonunun en büyüğü olduğunu belirledi. Silinmiş bir yapılandırma dosyasını git geçmişinden kurtaran araştırmacılar, kampanyanın Haziran 2025'te başladığını ve bir yıldan fazla süredir kesintisiz devam ettiğini ortaya çıkardı. Bu süre zarfında, 12 ülkede 218 kurban tespit edildi ve bunların %94'ü kurumsal hedeflerdi. Ele geçirilen token'lar arka planda otomatik olarak yenileniyor ve bazıları 25 defaya kadar sessizce yenilenmişti. Bu, saldırganların ilk oltalama işleminden sonra uzun süre erişimi sürdürebildiğini gösteriyor.
Önemli Gelişmeler
Her üç operatörün de araç geliştirmede yapay zeka kullandığına dair kanıtlar bulundu. saroula01'in commit'lerinde AI ortak yazar meta verileri, mail-argenta'nın deposunda ise kaydedilmiş bir geliştirme oturumu yer alıyordu. Ayrıca Lexfo, codemado'nun MaDoO Blaster aracını, SOCRadar tarafından belgelenen ve RockyBelling adlı bir aktör tarafından yönetilen The Quarry adlı bir oltalama hizmeti (PaaS) ekosistemine bağladı. RockyBelling, bu aracı müşterilerine tanıtıyordu.
Lexfo, bir AiTM kampanyası yürütmenin maliyetinin neredeyse sıfıra indiğini vurguladı. Bileşenlerin GitHub'da ücretsiz veya Telegram'da birkaç yüz dolara satıldığını belirten firma, savunmacıları herhangi bir aktörün MFA'yı oturum ele geçirme veya Aygıt Kodu Akışı kötüye kullanımı yoluyla atlayabileceğini varsaymaya çağırdı. Gerekli olmayan yerlerde aygıt kodu kimlik doğrulamasının devre dışı bırakılmasını öneren Lexfo, bu tür saldırılara karşı hazırlıklı olunması gerektiğini belirtti.
Kaynak: infosecurity-magazine.com