Ağustos 2025, siber suç taktiklerinde önemli bir evrim işaret etti ve tehdit aktörleri, geleneksel güvenlik savunmalarını başarıyla atlayan giderek daha sofistike kimlik avı çerçevelerini ve sosyal mühendislik tekniklerini konuşlandırdı.
Güvenlik araştırmacıları Any.run tanımladı Siber suçluların kimlik bilgisi hırsızlığı ve sistem uzlaşmasına nasıl yaklaştıklarında temel bir değişimi temsil eden üç büyük kampanya ailesi: çok aşamalı tycoon2fa kimlik avı çerçevesi, tıklama fix-verilen rhadamanthys stealer operasyonları ve platformu olan yeni bir phishish-1555 (PHAAS) platformunun ortaya çıkması.
Bu kampanyalar, hem otomatik güvenlik sistemlerini hem de insan uyanıklığını yenmek için ileri kaçakçılık tekniklerini psikolojik manipülasyonla birleştiren yüksek hedefli, çok katmanlı saldırılara yönelik endişe verici bir eğilim göstermektedir.
Geleneksel kitle kimlik avı denemelerinden farklı olarak, bu sofistike çerçeveler özellikle hükümet, finansal ve kritik altyapı sektörlerindeki yüksek değerli hesapları hedeflemektedir.
Tycoon2fa: yedi aşamalı kimlik avı zinciri
Tycoon2FA kampanyası, insan hedeflerini tüketirken otomatik güvenlik araçlarını sistematik olarak yenen yedi aşamalı bir yürütme zinciri kullanan kimlik avı sofistike bir paradigma değişimini temsil ediyor.
Bu çerçeve, 2025 yılında gözlemlenen en etkili kimlik bilgisi hasat operasyonlarından biri olarak ortaya çıkmıştır, özellikle devlet kurumlarını, askeri tesisleri ve ABD, Birleşik Krallık, Kanada ve Avrupa’daki büyük finansal kurumları hedeflemektedir.
Saldırı metodolojisi, karmaşık bir yeniden yönlendirme zinciri başlatan özenle hazırlanmış sesli mesaj temalı kimlik avı e-postalarıyla başlar. Mağdurlar, son Microsoft Giriş Sahili Sahtekarlık Paneline ulaşmadan önce Cloudflare Turnstile Captchas ve “Pres-Hold” BOT kontrolleri dahil olmak üzere birden fazla doğrulama ekranından yönlendirilir. Her aşama ikili amaca hizmet eder: İnsan hedeflerinden psikolojik bağlılık oluştururken otomatik analiz araçlarını filtreleme.
Analiz verileri, TyCoon2FA kampanyalarının% 26’sının özellikle bankacılık sektörü çalışanlarını hedeflediğini ve bu da fırsatçı kimlik bilgisi hasatından ziyade yüksek değerli finansal kimlik bilgilerine kasıtlı olarak odaklandığını gösteriyor.
Çerçevenin seçiciliği, tek tehlikeye atılan hesapların sınıflandırılmış sistemlere ve hassas ulusal güvenlik bilgilerine erişim sağlayabileceği hükümet ve askeri personele kadar uzanır.
İle Herhangi bir.run Otomatik etkileşim Aşağıdaki gibi çalışan yedi aşamalı bir yürütme akışına sahiptir: ilk kimlik avı e-posta teslimi, sahte PDF eki indirme, gömülü köprü aktivasyonu, Cloudflare captcha mücadelesi, manuel etkileşim doğrulaması, e-posta doğrulama gereksinimi ve son olarak, sahte kimlik doğrulama panelleri aracılığıyla kimlik bilgisi hasat.
Bu metodoloji, imza tabanlı tespit sistemlerini etkili bir şekilde yenerken, güven oluşturan ve şüpheyi azaltan sürekli insan katılımını gerektirir.
Siber tehditleri belirleyin ve SOC performansını en son araçlarla güçlendirin => Başlayın
ClickFix Evolution
ClickFix tekniği, orijinal Netsupport sıçanının ve asyncrat dağıtım mekanizmalarının önemli ölçüde gelişti ve şimdi Rhadamanthys gibi gelişmiş bilgi çalıcıları dağıtmak için sofistike bir vektör olarak hizmet etti.
Bu evrim, sosyal mühendislik psikolojisini gelişmiş kötü amaçlı yazılım dağıtım teknikleriyle birleştirerek hem teknik karmaşıklık hem de kaçınma yeteneklerinde bir yükselmeyi temsil etmektedir.
Son kampanyalar, Rhadamanthys Stealer’ı bellekte sessizce yürüten Microsoft Yükleyicisi (MSI) paketleri aracılığıyla teslim etmek için ClickFix akışlarını kullanıyor ve geleneksel dosya tabanlı algılama sistemlerini atlayarak Any.Run SandboxRhadamanthys’in ClickFix aracılığıyla nasıl teslim edildiğini görebiliriz.
Saldırı zinciri, TLS bağlantılarını doğrudan IP adreslerine kurarak DNS izleme ve etki alanı itibar sistemlerini atlatarak sanal alan analizinden kaçmak için sanal havuzu analizini kullanır.
| Sahne | Teknik | Miter Bu & ck kimliği | Kaçınma Yöntemi |
|---|---|---|---|
| İlk teslimat | ClickFix Sosyal Mühendislik | T1566 | İnsan etkileşimi gerekli |
| Kurulum | MSI sessiz yürütme | T1218.007 | Bellek içi işleme |
| Kaçma | Anti-VM tespiti | T1497.001 | Çevre analizi |
| İletişim | Doğrudan IP TLS | T1071.001 | DNS BYPASS |
| Yük dağıtım | PNG Steganografi | T1027.003 | Görsel şaşkınlık |
Bu kampanyaların en sofistike yönü, tehlikeye atılan PNG görüntü dosyaları aracılığıyla steganografiye dayalı yük dağıtımını içerir.
Saldırganlar, güvenlik tarayıcılarına meşru grafik içerik olarak görünürken ikincil yük dağıtımına izin vererek görüntü verileri içine ek kötü amaçlı yazılım bileşenleri yerleştirir. Bu teknik, yürütülebilir dosya türlerine odaklanan içerik denetim sistemlerini etkili bir şekilde atlar.
Tehdit aktörleri ayrıca, kasıtlı olarak eşleşmeyen ihraççı/konu alanlarıyla kendi kendine imzalanmış TLS sertifikaları uyguladılar ve şifreli iletişim kanallarını korurken benzersiz ağ eserleri oluşturdular.
Bu sertifikalar ikili amaca hizmet eder: İleri tehdit algılama ekipleri için farklı avcılık imzaları sağlarken ticari sertifika otoritesi gözetiminden kaçınmak.
Sally2fa: Yeni Nesil Phaas Framework
Salty2FA’nın keşfi, kimlik avı altyapısı evriminde belki de en önemli gelişimi temsil eder ve neredeyse tüm mevcut çok faktörlü kimlik doğrulama uygulamalarını atlayabilen kapsamlı bir Hizmet Platformu platformu sunar.
İlk olarak Haziran 2025’te belirlenen bu çerçeve, özellikle Kuzey Amerika ve Avrupa işletme ortamlarına odaklanan birden fazla kıtadaki Microsoft 365 hesaplarını hedeflemek için hızla genişlemiştir.
Salty2fa, adını hem statik analiz araçlarını hem de manuel ters mühendislik çabalarını bozan ayırt edici kaynak kodu “tuzlama” tekniklerinden türetir.
Çerçeve, mobil kimlik doğrulama uygulamalarından, SMS tabanlı tek seferlik parolalardan ve hatta iki yönlü sesli kimlik doğrulama çağrılarından itme bildirimlerini engelleyebilen ortadaki düşman yeteneklerini uygular. Bu kapsamlı 2FA baypas özelliği, mevcut kurumsal kimlik doğrulama stratejileri için temel bir tehdidi temsil etmektedir.
Altyapı analizi, komuta ve kontrol işlemleri için Rus üst düzey alanlarıyla eşleştirilmiş bileşik alt alan yapıları kullanılarak Salty2FA dağıtımında tutarlı kalıplar ortaya koymaktadır.
Çerçeve, esnek iletişim kanalları sağlayan ancak ilişkilendirme ve yayından kaldırma çabalarını karmaşıklaştıran zincirli sunucu mimarilerini kullanır.
Atıf kanıtı, daha önce DADSEC kimlik avı kiti işlemlerinden sorumlu olan Salty2FA ve Storm-1575 tehdit grubu arasındaki bağlantıları önermektedir. İşte bir analiz oturumu örneği, Salty2fa davranış indirme ve bir Eylem Yapılabilir Rapor.
Bununla birlikte, altyapı örtüşmeleri, Tycoon2FA kampanyalarının arkasındaki grup olan Storm-1747 ile potansiyel ilişkileri de göstermektedir. Bu bağlantılar, daha önce farklı tehdit aktörleri veya mevcut suç örgütleri içindeki evrim arasında olası işbirliğini önermektedir.
- Finansal hizmetler ve sigorta kuruluşları
- Enerji üretimi ve üretim tesisleri
- Sağlık sistemleri ve telekomünikasyon sağlayıcıları
- Devlet kurumları, eğitim kurumları ve lojistik ağları
Bu kampanya gelişmeleri, yüksek değerli kurumsal hedeflere karşı sürekli, hedefli operasyonlara yönelik fırsatçı saldırıların ötesine geçerek siber suçlu yeteneklerde temel bir değişimi temsil etmektedir.
Çok aşamalı kaçırma, ileri steganografi ve kapsamlı 2FA bypass tekniklerinde gösterilen sofistike, ceza örgütleri içindeki araştırma ve geliştirmeye önemli yatırımları göstermektedir.
İmzaya dayalı tespit ve statik analiz üzerine odaklanan geleneksel güvenlik yaklaşımları, bu gelişmiş tehditlere karşı yetersiz olduğunu kanıtlamaktadır.
İnsan psikolojik manipülasyonunun gelişmiş teknik kaçırma ile kombinasyonu, davranışsal analiz, etkileşimli sanal alan ortamları ve etkili tespit ve yanıt için sürekli tehdit istihbarat entegrasyonu gerektiren saldırı vektörleri oluşturur.
Kuruluşlar, ileri davranışsal analizleri, etkileşimli kötü amaçlı yazılım analiz yeteneklerini ve kapsamlı tehdit istihbarat entegrasyonunu birleştiren katmanlı güvenlik stratejilerini uygulamalıdır.
PHAAS modellerine doğru kayma, bu sofistike tekniklerin düşük vasıflı tehdit aktörleri için giderek daha erişilebilir hale geleceğini ve böylece genel tehdit manzarasını önemli ölçüde genişleteceğini göstermektedir.
Güvenlik ekipleri, statik IOC’lerden ziyade davranışsal göstergelere dayalı algılama kurallarının geliştirilmesine öncelik vermelidir, çünkü bu kampanyalar hızlı altyapı devir ve kaçırma tekniği evrimi göstermektedir.
Sandbox’ta kötü amaçlı yazılımlarla etkileşim kurmak için herhangi bir.Run Çözümleri entegre edin => Ücretsiz denemenizi başlatın