9K+ Kullanıcı Kimlik Bilgilerini Çaldıktan Sonra, 0ktapus’un Kimlik Avı Silahları Sinsi Dolaşmaya Devam Edebilir

13 Ekim 9K+ Kullanıcı Kimlik Bilgilerini Çaldıktan Sonra, 0ktapus’un Kimlik Avı Silahları Sinsi Dolaşmaya Devam Edebilir

Stratejik alanları silahlandırmak, büyük risk

– Jonathan Zhang, Whois XML API CEO’su

Ceviz, Kaliforniya – 13 Ekim 2022

Kimlik yönetimi platformu sağlayıcısı Okta’nın kimliğine bürünen büyük bir kimlik avı kampanyası, 9.931 kullanıcı hesabının ele geçirilmesiyle sonuçlandı. Çalınan kayıtlar, Cloudflare ve Twilio dahil olmak üzere 130’dan fazla kuruluşa ait kullanıcıların e-posta adreslerini ve çok faktörlü kimlik doğrulama (MFA) kodlarını içeriyordu.

Taktik basitti – tehdit aktörleri, kurbanlara kimlik avı bağlantıları içeren kısa mesajlar gönderdi. Bu bağlantılar, özellikle “sso”, “vpn”, “mfa” ve “okta” gibi dizeleri kullanarak Okta kimlik doğrulama sayfasını taklit etti.

Yalnızca 173 alan, güvenlik açığı göstergesi (IoC’ler) olarak adlandırılırken, 1 Haziran ile 16 Eylül 2022 arasında eklenmiş benzer dizeleri içeren 10.000’den fazla alan bulduk. 0ktapus’un arkasındaki tehdit aktörleri hala sahte kimlik doğrulama sayfalarının ve alan adlarının arkasında gizleniyor mu?

Kimlik Doğrulama Sayfaları Olarak Poz Verme

Basit kimlik avı taktiğinin başarısında önemli bir unsur, etki alanlarını ve web sayfalarını meşru gösterme çabası olabilir. Bu, stratejik alan adlarının (yani, “sso”, “vpn”, “mfa” ve “okta” içerenler) kaydıyla başlayarak dikkatli bir planlama gerektirir.

İroni bizde kaybolmadı. Tehdit aktörleri, kullanıcıları korumak için tasarlanmış çözümlerden yararlanıyor. Ancak benzer şekilde formüle edilmiş alan adları için DNS’yi taramak, güvenlik topluluğunu 0ktapus gibi kampanyalara karşı uyarmaya yardımcı olabilir.

Dize tabanlı keşif tekniklerini kullanarak muhtemelen kötü amaçlı kampanyayla ilgili 10.750 alan ve alt alan ortaya çıkardık. IoC’lerin çoğu Haziran’da oluşturulduğundan, aramamızı 1 Haziran ile 16 Eylül 2022 arasında eklenen alan adlarıyla sınırladık.

IoC listesi genişletmemizin bir özeti, bazı örnek IoC’ler ve ilgili eserler ile birlikte aşağıdaki tabloda bulunabilir.

Okta kimlik doğrulama sayfalarını taklit eden alan adlarının yanı sıra, Group-IB’deki araştırmacılar ayrıca 56 IP adresini IoC olarak etiketledi. Bu IP adresleri için ters IP aramaları, yalnızca birkaç etki alanı onlara çözümlendiğinden, büyük olasılıkla adanmış olduklarını ortaya çıkardı.

16 Eylül 2022 itibariyle, bu IP adreslerine bağlanan yalnızca 108 alan bulduk ve toplam 0ktapus yapıtlarını 10.858 dijital mülke getirdik.

Başlıca TLD’lerin Kullanımı

Etki alanı silahlandırmasının kullanılan üst düzey etki alanından (TLD) bağımsız olduğunu bilsek de, 0ktapus IoC’lerinin esas olarak .com, .org ve .net alanlarına ait olduğunu fark ettik. Bu, alan adlarının başarılı bir şekilde meşru sayfalar gibi görünmesine yardımcı olan basit ama etkili başka bir taktik olabilir. Sonuçta, kampanyanın hedef kuruluşları ağırlıklı olarak bu TLD’leri kullandı.

Bu bulgu, Group-IB’nin tehdit aktörlerinin karmaşık tedarik zinciri saldırıları planlıyor olabileceği yönündeki açıklamasını desteklemektedir. Buna karşılık, hedeflenmemiş ve sıradan siber saldırılar, öncelikle .tk ve .ga gibi daha ucuz veya ücretsiz TLD’leri kullanmaya daha meyilli olabilir.

Onaylanmış Kimlik Avı Etki Alanları Kurbanları Çekmeye Devam Ediyor

Bu yapıları toplu bir kötü amaçlı yazılım kontrolünden geçirdik ve yüzde 2,22’sinin farklı kötü amaçlı yazılım motorları tarafından kötü amaçlı olarak işaretlendiğini tespit ettik. Yine de, bildirilen bazı alan adları etkin olmaya devam ediyor ve şüpheli görünen sayfalara ev sahipliği yapıyor.

Kötü niyetli DuckDNS alt alanları 1-sso-nifty[.]Ördekler[.]kuruluş ve posta[.]wms-sso-biglobe[.]Ördekler[.]org, şu anda etkin olan mülklerin bazı örnekleridir. Her ikisi de aşağıda gösterilen aynı finansal hesap giriş sayfasını barındırır.

1-sso-nifty’nin web sitesi ekran görüntüleri[.]Ördekler[.]kuruluş ve posta[.]wms-sso-biglobe[.]Ördekler[.]kuruluş

Postayı ziyaret etmeye çalıştığınızda görünen tarayıcı uyarısı[.]wms-sso-biglobe[.]Ördekler[.]kuruluş

Araştırmacının tarayıcısı, att-expired-4de4 ile de olan web sayfalarını ziyaret etmeye karşı uyarıda bulundu.[.]süresi doldums1[.]işçiler[.]dev. Bu alt etki alanı şu anda aşağıda gösterilen bir AT&T oturum açma sayfasına ev sahipliği yapıyor.

att-expired-4de4’ün web sitesi ekran görüntüsü[.]süresi doldums1[.]işçiler[.]dev

Potansiyel Kimlik Avı Etki Alanları İşaretsiz Kalıyor

Ekran görüntüsü arama analizimizi, eserlerin geri kalanını içerecek şekilde genişlettikten sonra, bazılarına erişmenin güvenli olmayabileceğini gördük. Park edilmiş alan adlarının ve 404 sayfanın yanı sıra, alan adlarının çoğu oturum açma sayfalarını barındırıyordu. En şüpheli olanlardan bazıları AT&T’yi taklit ediyor gibi görünüyor.

Oktapus’un kolları, stratejik alanları silah haline getirerek binlerce kullanıcı bilgisini tehlikeye attı. Taktik basit ve eski olsa da, etkili olmaya devam ediyor. WHOIS ve DNS istihbaratı, şüpheli özelliklerin tehdit aktörleri tarafından etkinleştirilip kötü amaçlı kampanyalarda kullanılmadan önce tespit edilmesine yardımcı olabilir.

Tartıştığımız 0ktapus eserleriyle ilgileniyorsanız, çekinmeyin. Bize Ulaşın. Ayrıca araştırma işbirlikleri arayışındayız.

Whois XML API Arşivleri