Domaintools Araştırmaları (DTI) tarafından yapılan yeni bir soruşturma, savunma ve havacılık varlıklarını hedefleyen büyük bir kimlik avı altyapısını, özellikle Ukrayna’daki çatışmalarla bağlantılı olanları ortaya çıkardı.
Bu sofistike kampanya, bu sektörlerdeki çalışanlardan kritik kimlik bilgilerini çalmak için tasarlanmış meşru kuruluşları taklit eden alan adlarını destekleyen bir posta sunucusu ağı içerir.
Altyapı, her biri orijinal şirket web sitelerine çok benzeyen birden fazla sahte alan barındıran bir avuç posta sunucusuna dayanmaktadır.
Bu alan adları genellikle, şüpheli olmayan kullanıcılardan oturum açma kimlik bilgilerini yakalamak için tasarlanmış Webmail oturum açma sayfalarını barındırır.
![Kroboronprom'da barındırılan webmail giriş sayfası[.]com](https://siberulak.com/wp-content/uploads/2025/05/Danimarkada-DataCentre-Heat-Atilimindan-Sonra-Apple-Mutevazi-Rol-Oynamak.jpg)
Özellikle, soruşturma Kroboronprom adlı bir alanda bir kimlik avı sayfası belirledi[.com, which impersonates Ukraine’s largest arms manufacturer, Ukroboronprom.
![Domains Likely Related to kroboronprom[.]com](https://gbhackers.com/wp-content/uploads/2025/03/image-50.jpg)
Temel bulgular
- Kimlik avı altyapı detayları
- Kroboronprom[.]com: Ukroboronprom’u parlatmak için tasarlanmış bu alan adı ilk olarak 20 Aralık 2024’te tespit edildi. GitHub’da bulunan açık kaynaklı bir posta sunucusu yazılımı olan Mailu kullanılarak oluşturulan bir webmail giriş sayfası barındırıyor.
- İlişkili alanlar: Daha fazla analiz üzerine, aynı web sitesi başlığına sahip dokuz diğer alan tanımlandı. Bunlar Scooby-Doo içerir[.]xyz, şanslı adam[.]Uzay ve Noel Baba[.]Online, diğerleri arasında. Hepsi uzay gemisine kayıtlı ve GhostNet VPS’de ev sahipliği yaptı.
- Belirlenen alanların genişletilmesi
- İkincil bir arama üç ek alan ortaya çıktı (uzay-kitty[.]Çevrimiçi, aptalca bulanık[.]Anne ve aç köpek[.]Sit), ayrıca Mailu Webmail Oturum Açma Sayfalarına da ev sahipliği yapıyor. Bunların kimlik hırsızlığı için kullanıldığından şüpheleniliyor.
- Bu alanlar, savunma, havacılık ve BT sektörlerini hedefleyen çok sayıda sahte alan adını destekleyen posta sunucuları için MX alanları olarak kullanıldı. Toplamda 878 sahtekarlık alan tanımlandı.
Saldırganlar muhtemelen bu sahte alanları, hedeflenen kuruluştan kaynaklanan kimlik avı e -postaları göndermek için kullanıyorlar.
Bu e -postalar, alıcıları kimlik bilgilerini toplamak için tasarlanmış sahte webmail giriş sayfalarına yönlendiren kötü niyetli bağlantılar veya ekler içerir.
Hedefler ve motivasyon
Kampanya, Ukrayna’nın Rusya’ya yönelik askeri çabalarını destekleyen savunma ve havacılık şirketlerine odaklanıyor.
Bu, Ukrayna’da devam eden çatışmayla ilgili istihbarat toplamayı amaçlayan siber casusluktan kaynaklanan bir motivasyon olduğunu düşündürmektedir.
Kimlik bilimi kimlik avının yanı sıra, bazı alanlar kötü amaçlı dosyaların dağılımı ile bağlantılıydı.
Alt alan cryptshare.rheinemetall[.]Com, meşru bir güvenli dosya alma hizmeti olarak maskelenerek dosya paylaşımını kolaylaştırmak için kullanıldı. Bu, kimlik hırsızlığının ötesinde daha geniş bir kötü niyetli faaliyet yelpazesini gösterir.
![Cryptshare.rheinemetall ekran görüntüsü[.]com](https://siberulak.com/wp-content/uploads/2025/05/Ilk-Erisim-Brokerleri-Brezilya-yoneticilerini-NF-E-spam-ve-yasal-RMM.jpg)
Bu kampanyanın arkasındaki kesin aktör tanımlanmamış olsa da, savunma ve havacılık varlıklarına vurgu ve kullanılan taktikler, Ukrayna çatışmasına bağlı bir siber casusluk güdüsünü güçlü bir şekilde göstermektedir.
Sahtekarlık alanlarının ve web posta giriş sayfalarının kapsamlı kullanımı, bu kritik sektörler arasında uyanıklık ihtiyacını vurgulayarak bu tehdidin sofistike ve ölçeğinin altını çiziyor.
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılımları, kimlik avı olaylarını analiz edin ve herhangi biriyle canlı erişim sağlayın. Run -> Şimdi ücretsiz başlayın.