Ukrayna’nın popüler web posta ve haber platformu UKR.NET kullanıcılarını hedef alan yeni bir kimlik bilgisi toplama kampanyası keşfedildi.
Saldırılar, APT28, Fancy Bear ve Forest Blizzard olarak da bilinen Rus devlet destekli hacker grubu BlueDelta ile bağlantılı.
Bu grup, Rusya’nın askeri istihbarat ihtiyaçlarını desteklemek için devlet kurumlarından, savunma yüklenicilerinden ve diğer hassas hedeflerden giriş bilgilerini çalmaya odaklanarak on yılı aşkın süredir operasyonlar yürütüyor.
Haziran 2024 ile Nisan 2025 arasında tehdit aktörleri, Ukraynalı kullanıcılardan kullanıcı adlarını, şifreleri ve iki faktörlü kimlik doğrulama kodlarını çalmak için tasarlanmış sahte UKR.NET giriş sayfaları oluşturdu.
Bu sayfalar Mocky ve DNS EXIT gibi ücretsiz web hizmetlerinde barındırılıyordu ve bu da onların izlenmesini zorlaştırıyordu. Bilgisayar korsanları, kurbanlara bu sahte giriş portallarına bağlantılar içeren PDF dosyaları gönderdi.
Bu yöntem, otomatik e-posta güvenlik sistemleri ve kötü amaçlı içerik taraması yapan korumalı alan araçları tarafından tespit edilmekten kaçınmalarına yardımcı oldu.
Recorded Future analistleri, BlueDelta’nın, kolluk kuvvetlerinin 2024’ün başlarında önceki altyapılarını bozmasının ardından yöntemlerini değiştirdiğini tespit etti.
Grup, daha önce olduğu gibi güvenliği ihlal edilmiş yönlendiriciler kullanmak yerine ngrok ve Serveo gibi proxy tünelleme platformlarına geçti. Bu hizmetler, kurbanların kimlik bilgilerini yakalarken sunucularının gerçek konumlarını gizlemelerine olanak sağladı.
Kampanya, devam eden çatışma sırasında Rus istihbarat servislerinin Ukraynalı kullanıcılardan hassas bilgiler toplamaya yönelik ısrarlı çabasını gösteriyor.
Kimlik Bilgisi Toplama Mekanizması
Sahte giriş sayfaları, kullanıcı bilgilerini çalmak ve saldırganların kontrolündeki sunuculara göndermek için özel JavaScript kodu kullandı.
Kod, oturum açma kimlik bilgilerini yakaladı ve CAPTCHA zorluklarını “kfghjerrlknsm” gibi alışılmadık bağlantı noktası numaralarına sahip alanlara aktardı.[.]astar[.]pm:11962`. Bilgisayar korsanları ayrıca ücretsiz bir API hizmeti olan HTTPBin’i kullanarak kurbanın IP adreslerini kaydetmek için kod ekledi.
.webp)
Daha sonraki sürümlerde BlueDelta, ngrok’un tarayıcı uyarı sayfasını devre dışı bırakmak için JavaScript’i güncelledi. Kurbanların proxy hizmeti üzerinden bağlanırken güvenlik uyarılarını görmesini önlemek için `req.setRequestHeader(“ngrok-skip-browser-warning”, “1”);` kod satırı eklendi.
.webp)
Bu, sahte sayfaların daha meşru görünmesini sağladı ve mağdurların şüpheli herhangi bir şeyi fark etme olasılığını azalttı.
Grup, kurban ile son sunucu arasında altı adede kadar ayrı katmandan oluşan çok katmanlı bir altyapı oluşturdu. İlk katman TinyURL ve Linkcuts gibi bağlantı kısaltma hizmetlerini kullanırken, ikinci katman Mocky’deki kimlik bilgisi toplama sayfalarını barındırıyordu.
Üçüncü katman, Fransa ve Kanada’daki özel sunuculara bağlanan ngrok tünelleme alanlarını içeriyordu.
Bu karmaşık kurulum, güvenlik ekiplerinin saldırganları takip etmesini ve operasyonlarını durdurmasını zorlaştırdı.
Kaydedilen Gelecek araştırmacıları, kampanya dönemi boyunca 42’den fazla farklı kimlik bilgisi toplama zincirine dikkat çekti ve bu, bu tehdidin ölçeğini ve kalıcılığını gösterdi.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
