Güvenlik firması Infoblox’un yeni bir raporu, en az 18 Amerikan üniversitesinin aylar süren uzun süreli, koordineli bir kimlik avı saldırısına maruz kaldığını ortaya koyuyor.
Infoblox’un Hackread.com ile paylaştığı blog gönderisine göre, bu kampanya Nisan-Kasım 2025 arasında yürütüldü ve Çok Faktörlü Kimlik Doğrulama (MFA) açıkken bile öğrenci ve personel hesap ayrıntılarını çalmayı amaçlıyordu.
Saldırı Stratejisi: Güvenliği Aşmak
Bilginiz olsun diye söylüyorum, MFA, telefonunuzdan bir kod girmeyi veya şifrenizi girdikten sonra bir bildirimi onaylamayı içeren ekstra bir güvenlik adımıdır. Bu saldırı, Evilginx adı verilen tehlikeli, açık kaynaklı bir kimlik avı kiti kullanarak MFA’yı atladı.
Evilginx, Ortadaki Düşman (AiTM) yaklaşımını kullanarak dijital bir aracı gibi davranıyor. Bir öğrenci, kişiselleştirilmiş bir e-postayla gönderilen kimlik avı bağlantılarından birine tıkladığında Evilginx, kurbanla üniversitenin gerçek giriş sayfası arasına sessizce girdi. Gerçek oturum açma sürecini taklit ederek hem kullanıcı adını/şifreyi hem de MFA tamamlandıktan sonra erişim sağlayan oturum çerezini çaldı.
Bu çerezin çalınması, saldırganın hesabı tamamen ele geçirmesine olanak tanır. Araştırmacılar, e-postalarda kullanılan bağlantıların, okulun tek oturum açma (TOA) portalından geliyormuş gibi görünen kısa, geçici TinyURL’ler olduğunu belirtti.
Dijital Yolun İzini Sürmek
Infoblox’un raporu ayrıca kampanya operatörlerinin, saldırı bağlantılarını sık sık değiştirmek ve sunucularının bulunduğu yeri maskelemek için Cloudflare gibi hizmetleri kullanmak gibi izlerini gizlemek için adımlar attığını da ortaya çıkardı. Ancak hedeflenen kurumlardan birindeki bir güvenlik uzmanından gelen ilk ipucu, Infoblox’un soruşturma başlatmasına yardımcı oldu.
Daha fazla araştırma, alan adlarının nasıl talep edildiğine ve çözümlendiğine ilişkin dijital kayıtlara atıfta bulunan DNS kalıplarının analizini içeriyordu. Sonunda Infoblox’un Tehdit Intel ekibi noktaları birleştirmeyi başardı. Aylar boyunca komploda kullanılan yaklaşık 70 farklı alan adını izlediler. Kaydedilen ilk saldırı 12 Nisan 2025’te San Diego Üniversitesi’ne yapıldı.
Saldırı hacmine göre hedeflenen ilk beş okul; California Üniversitesi, Santa Cruz, California Üniversitesi, Santa Barbara, San Diego Üniversitesi, Virginia Commonwealth Üniversitesi ve Michigan Üniversitesi oldu.
Infoblox Threat Intel Başkan Yardımcısı Renée Burton, bu saldırıların neden olduğu ciddi zararları vurguladı ve üniversitelerin popüler bir hedef olmaya devam ettiğini belirtti. Özellikle endişe verici bir örneği paylaşarak, “Üniversiteler, neden oldukları hasar veya kilitledikleri sistemlerin değeri konusunda çok az endişe duyan kötü niyetli aktörler için ortak bir hedef olmaya devam ediyor” ve Washington Üniversitesi’ne yapılan bir saldırının “sonuçta müzenin bitki ve hayvan örneklerinden oluşan dijital kataloğunun paha biçilmez bir kayıt olan bir kısmını yok ettiği” bir vakayı ayrıntılarıyla anlattı.
Bu başarılı saldırılar, siber suçluların MFA’yı atlatmak için Evilginx gibi araçları ne kadar hızlı kullandığını gösteriyor; bu da güçlü güvenlik farkındalığını ve kampüs personeli ve öğrenciler tarafından verileri korumak için hızlı raporlamayı her zamankinden daha kritik hale getiriyor.