Ülkenin GRU olarak bilinen askeri istihbarat teşkilatına bağlı, Rus devleti destekli bir tehdit grubu olan BlueDelta, kimlik bilgisi çalma operasyonlarını 2025 yılı boyunca önemli ölçüde genişletti.
Şubat ve Eylül ayları arasında grup, Microsoft Outlook Web Access, Google ve Sophos VPN hizmetleri kullanıcılarını oturum açma bilgilerini vermeleri için kandırmak amacıyla tasarlanmış çok sayıda kimlik avı kampanyası başlattı.
Bu gelişen tehdit, grubun Avrupa ve Avrasya’daki hükümet yetkililerinden, enerji sektörü çalışanlarından ve araştırma profesyonellerinden kimlik bilgileri toplama konusundaki kararlılığını gösteriyor.
Saldırılar, BlueDelta’nın 2000’li yılların ortasından bu yana hassas kuruluşları hedef alan uzun süredir devam eden ticari becerisinin açık bir evrimini temsil ediyor.
Grup öncelikle enerji araştırmaları, savunma işbirliği ve hükümet iletişim ağlarıyla bağlantılı kurumlara odaklanıyor.
Son kampanyalar, BlueDelta’nın birden fazla saldırı aşamasını, özel kodu ve orijinal görünümlü yem belgelerini güvenlik kontrollerini atlamak ve kurbanın güvenini artırmak için nasıl birleştirdiği konusunda artan karmaşıklığı gösteriyor.
Recorded Future analistleri, kötü amaçlı yazılımı ikinci dağıtım aşamasından sonra tespit ederek her saldırının arkasındaki teknik mekanizmaları ortaya çıkardı.
Araştırmacılar, BlueDelta’nın sahte giriş sayfalarını barındırmak ve çalınan kimlik bilgilerini otomatik olarak yakalamak için Webhook.site, InfinityFree, Byet Internet Services ve ngrok gibi ücretsiz barındırma hizmetlerine büyük ölçüde güvendiğini keşfetti.
.webp)
Bu altyapı stratejisi, tek kullanımlık hizmetler aracılığıyla esnekliği korurken operasyonel maliyetleri minimum düzeyde tutar.
Çok Aşamalı Kimlik Bilgisi Yakalama Mekanizması
BlueDelta’nın kullandığı enfeksiyon mekanizması, bir meşruiyet maskesini korurken kullanıcı verilerini toplamak için tasarlanmış, dikkatlice düzenlenmiş bir yeniden yönlendirme zincirini takip eder.
Bir kurban bir kimlik avı bağlantısını tıkladığında ilk olarak Körfez Araştırma Merkezi gibi kuruluşlardan gelen meşru PDF belgeleriyle karşılaşır.
.webp)
Bu belgeler, sayfa otomatik olarak orijinal Microsoft, Google veya Sophos arayüzlerinin görünümünü yansıtan sahte bir giriş portalına yönlendirilmeden önce yaklaşık iki saniye boyunca görüntülenir.
Kötü amaçlı kod, kurban bilgilerini sistematik olarak yakalamak için JavaScript işlevlerini kullanıyor.
Kod, URL parametrelerinden e-posta adreslerini çıkarır ve kurbanın e-postasını, IP adresini ve tarayıcı bilgilerini içeren bir “sayfa açıldı” işaretini BlueDelta’nın komut sunucusuna geri gönderir.
Kurbanlar kimlik bilgilerini girdiklerinde ek JavaScript, kullanıcı adını ve parolayı yakalar ve ardından bu bilgiyi HTTP POST istekleri aracılığıyla saldırganın kontrolündeki uç noktaya iletir.
Bunu özellikle etkili kılan şey, BlueDelta’nın tarayıcının görüntülenen URL’sini değiştirmesidir.
.webp)
Kimlik bilgileri gönderildikten sonra sayfa, kimlik avı etki alanını göstermekten “/owa/” veya “/pdfviewer?pdf=browser” görüntülemeye geçerek meşru bir uygulama arayüzü izlenimi yaratır.
Sayfa daha sonra hedeflenen kuruluşa ait orijinal PDF’ye veya gerçek bir giriş portalına yönlendirilerek mağdurların normal bir kimlik doğrulama sürecini tamamladıklarına inanmasını sağlar.
Grubun bu teknikleri sürekli olarak geliştirmesi, kullanıcı psikolojisi ve web tarayıcı davranışına ilişkin gelişmiş bir anlayış sergileyerek BlueDelta’nın tespitten kaçarken kimlik bilgisi toplamada yüksek başarı oranlarını korumasına olanak tanıyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
