StormShield CTI araştırmacıları, APT35 ile bağlantılı iki aktif kimlik avı sunucusu tespit ettiler ve hükümet ve askeri kuruluşları hedefleyen sürekli kimlik bilgisi çalma işlemlerini ortaya koydu.
Aktif bir tehdit avı operasyonunda, StormShield’ın Siber Tehdit İstihbaratı (CTI) ekibi, APT35 altyapısının ayırt edici özelliklerini sergileyen iki kötü amaçlı sunucu keşfetti.
Check Point ile belgelenen aynalı ayak izleri olan bu sunucular, ABD, Orta Doğu ve Avrupa’daki hükümet, askeri, akademik ve medya kuruluşlarından giriş kimlik bilgilerini toplamak için tasarlanmış kimlik avı sayfalarına ev sahipliği yapıyor.
Soruşturma, Check Point’in en az 2015’ten beri aktif olan İran bağlantılı bir casusluk grubu olan APT35 (Nane Sandtporttorm, Charming Yavru veya Eğitimli Manticore olarak da bilinir) hakkındaki son raporunda yer alan bir HTML sayfasını inceleyerek başladı.
Basit sayfa, farklı alanlarda değişen yollardan dört renkli nokta ve aynı JavaScript ve CSS dosyasını görüntüler.
StormShield analistleri, Silentpush tehdit avcılığı platformunda bir HTML_Body_SSDEP sorgusu oluşturmak için bu benzersiz sayfa yapısından yararlandı ve internette benzer şekilde yapılandırılmış sayfaların hızlı bir şekilde tanımlanmasını sağladı.
Tanımlanan sunucular ve alan adları
Hazırlanmış sorguyu kullanarak, CTI ekibi IPv4 adresleriyle ilişkili sekiz maç buldu 45.143.166[.]230 ve 195.66.213[.]132, daha önce Check Point tarafından bildirildi. Ayrıca, daha önce belgelenmemiş iki IP ortaya çıktı:
- 84.200.193[.]20 (AS214036 Ultahost, Inc.), çoğunlukla Temmuz ayı ortaları arasında çözülen alan adlarına eşlenen, sadece bir aktif alan kaldı-rohan63[.]xyz.
- 79.132.131[.]184 (AS39378 Servinga) 49 “.Line” alanına ev sahipliği yapıyor, hepsi hala çözüyor, Meet.go0gle gibi birçok sahtekarlık video konferans hizmeti[.]Çevrimiçi ve Meet.video-Connect[.]çevrimiçi. En son kayıt-geçirmez Video[.]Çevrimiçi – 20 Eylül 2025’te canlı olarak yayınlandı.
Bu alanlar, meşru hükümet veya askeri işbirliği araçları olarak maskelenen kimlik-kimlik avı ön uçları olarak işlev görür. Google tehdit analistlerine göre, video konferans temaları 2023’ten beri APT35’in kimlik avı taktiklerinin merkezinde yer alıyor.
![IPv4 84.200.193 için barındırma zaman çizelgesi[.]20, Kaynak: ValidIn.](https://gbhackers.com/wp-content/uploads/2025/09/screenshot-appvalidincom-1024x639-1.jpeg)
Daha ileri araştırmalar, URL sorgu parametrelerine gömülü izleme davranışlarını ortaya çıkarır. “Varlık: URL URL: Çevrimiçi/? Davet” için bir Virustotal Arama, Temmuz ve Eylül 2025 arasında İsveç ve İsrail’den gönderilen birden fazla URL verildi ve hepsi bir “davetiyenin ardından
“Varlık: Etki Alanı Etki Alanı: Viliam. Alt alanlar, potansiyel olarak bu kampanyaya bağlı yeni kimlik avı sitelerini keşfetmek için etkili bir yöntem sağlıyor.
Hafifletme
Bu sunucuların ve alt alan desenlerinin kalıcılığı, APT35’in hassas sektörlerdeki kimlik bilgisi hırsızlığına odaklanmanın devam ettiğini göstermektedir. Öngörülebilir HTML şablonlarına ve alt alan adlandırma kurallarına güvenmeleri, savunuculara tespit için güvenilir bir yaklaşım sunar:
- Şablon parmak izi: İnternet tarama platformlarında farklı dört noktalı HTML sayfası için sorgu.
- Subdomain desen izleme: Yeni “Viliam” ı izleyin. Şüpheli IPv4’lere karar vererek ön eklenmiş alanlar.
- Kimlik avı URL parametre aramaları: Virustotal üzerinden “.line” alanlarındaki “? Davet-” sorgu dizelerini izleyin.
StormShield, bu kimlik avı altyapılarından müşterileri koruyarak güvenlik ürünleri boyunca belirlenen tüm göstergeleri proaktif olarak engelledi.
Bununla birlikte, hükümet ve askeri güvenlik ekipleri, ortaya çıkan APT35 varlıklarını kimlik bilgilerini toplayabilmeden önce tespit etmek ve devre dışı bırakmak için bu avcılık tekniklerini tehdit istihbarat süreçlerine entegre etmelidir.
APT35’in hükümet ve askeri kuruluşları hedefleyen kimlik avı kampanyası, kontrol noktası raporundan bu yana aktif ve büyük ölçüde değişmeden kalıyor.
Taktikleri basit olsa da, altyapılarının öngörülebilirliği, kötü niyetli alanları hızla tanımlamak ve nötralize etmek için savunucular tarafından kaldırılabilir.
Güvenlik ekipleri video-konferans temalı kimlik avı, “Viliam.” Alt alanlar ve “davet” URL sorguları, APT35’in kimlik bilgisi çalma çabalarının önünde kalabilir ve kritik kimlik bilgilerinin düşman ellerine düşmesini önleyebilir.
Uzlaşmaların göstergesi
| Değer | Tip | Yorum | Kendinden emin |
| 79.132.131[.]184 | IPv4 | IPv4 Hosting Kimlik avı alanları | Yüksek |
| 84.200.193[.]20 | IPv4 | IPv4 Hosting Kimlik avı alanları | Yüksek |
| Viliam-live-kimlik[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| Viliam.viliam-live-idets[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| kanıt-video[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| bir araya gelme[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| Meet.pround-Video[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| www.look-together-online[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| viliam[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| www.video-connect[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| Meet.video-connect[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| Video Bağlantı[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| www.go0gle[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| Meet.go0gle[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| go0gle[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| tensör[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| ell[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| azdava[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| Meet.azdava[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| Meet.l-Safe[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| viliam.azdava[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| Viliam.tensore[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| Viliam.Teslator[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| Teslator[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| Viliam.kuret-live[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| Tür-Yaşam[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| Book.kuret-live[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| Viliam.Safe-Lord[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| Güvenli Lord[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| www.p-safe[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| Viliam.p-Safe[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| p-safı[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| destek[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| Villiam[.]Çevrimiçi konuş[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| Viliam[.]Çevrimiçi konuş[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| Çevrimiçi konuş[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| viliam.into-support[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| kötü adam[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| alfa[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| Viliam.Kuret-Met[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| Viliam.Live-Board[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| canlı[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| www.owner-rate[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| Viliam.Onder-Rate[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| sahip oranı[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| Viliam.alpha-Maet[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| alfa[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| arcanet[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| Viliam.arcanet[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| Viliam.cpppsg[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| CPPSG[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| ROUCH63[.]xyz | İhtisas | Kimlik avı alanı | Yüksek |
| www.rohand63[.]xyz | İhtisas | Kimlik avı alanı | Yüksek |
| Viliam.rohand63[.]xyz | İhtisas | Kimlik avı alanı | Yüksek |
| Robinthing123[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| Viliam.Robinthing123[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| Viliam.superlite[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| süper[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| DMN-inter[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| viliam.dmn-inter[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| www.toolfare[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| Viliam.Toolfare[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| başkanlık[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| Oranus.besatoo[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| Viliam.besatoo[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| mickel.besatoo[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| Live.besatoo[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
| Besatoo[.]çevrimiçi | İhtisas | Kimlik avı alanı | Yüksek |
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.