Trustwave’nin tehdit istihbarat ekibinden siber güvenlik araştırmacıları, “Dadsec” olarak da bilinen kötü şöhretli hacker grubu Storm-1575 tarafından düzenlenen büyük ölçekli bir kimlik avı kampanyasını ortaya çıkardılar.
Eylül 2023’ten bu yana, bu grup, Microsoft 365 kullanıcılarını hedeflemek için Tycoon2FA adlı Hizmet Olarak Kimlik Avı (PHAAS) platformundan yararlanarak, titizlikle hazırlanmış kimlik avı sayfaları aracılığıyla kimlik bilgilerini hasat etmeyi amaçlıyor.
En azından Ağustos 2023’ten bu yana aktif olan bu kampanya, gelişmiş kaçakçılaşma tekniklerini DADSEC ve Tycoon2FA arasındaki ortak altyapı ile harmanlayarak, son derece koordineli ve birbirine bağlı bir Phaas ekosistemine işaret ediyor.
.png
)
Sofistike Kimlik Yardım Kampanyası Microsoft 365 kullanıcılarını hedefler
Soruşturmalar, Dadsec’in kendi kimlik avı kitinin bir klonu veya uyarlaması olduğundan şüphelenilen Tycoon2fa’nın, kullanıcı girişlerini kesme ve bypass çok faktörlü kimlik doğrulama (MFA) için ortada bir düşman (AITM) yaklaşımı kullandığını ortaya koyuyor.
Platform, saldırgan kontrollü sunucularda kimlik avı sayfalarını barındırarak, oturum çerezlerini ve kimlik doğrulama jetonlarını yakalar ve mağdurlar şifrelerini değiştirse bile uzlaşmış hesaplara kalıcı erişim sağlar.
Kampanya, HTML ekleri veya kullanıcıları sahte Microsoft giriş sayfalarına yönlendiren QR kodları içeren aldatıcı e-postalarla başlar ve genellikle güvenilirliği artırmak için kurbanın e-posta adresini önceden doldurur.
Temmuz 2024’ten bu yana, araştırmacılar, “Res444.php” gibi benzersiz PHP kaynakları ve Mart 2025’te tanıtılan “Cllascio.php” ve “.000.php” gibi yeni varyantlar tarafından desteklenen binlerce kimlik avı sayfasını tespit ettiler.
Paylaşılan altyapı, Phaas ekosisteminde derin bağlantıları ortaya çıkarır
Eleştirel bir bulgu, Dadsec ve Tycoon2FA arasındaki altyapıdaki örtüşmedir ve paylaşılan bir operasyonel çerçeve önermektedir.
Her iki platformla bağlantılı alanlar, ortak IP adreslerine ve özerk sistem numaralarına (ASNS), özellikle AS19871’e (ağ çözünürlükleri barındırma) çözülür ve genellikle Rus üst düzey alan “.ru ”’u kurban verilerini yerleştiren tutarlı URL kalıplarıyla kullanır.
Sık sık siber panelde barındırılan bu alanlar, aynı HTML gövdesi karmalarına ve “yaratıcı bir şekilde işler” gibi başlıklara sahip şablonlu web sayfalarını görüntüleyin, merkezi bir kimlik avı araç setini gösterir.
TyCoon2fa, tuş vuruşu algılama ve tarayıcı denetim araçlarını devre dışı bırakma gibi özel Cloudflare turnikesi zorlukları ve anti-analiz özellikleri ile aldatmayı geliştirirken, tuhaf kullanıcıları cezbetmek için Microsoft Word gibi meşru platformları taklit eder.
TyCoon2FA’nın teknik sofistike, tarayıcı algılamasına dayalı dinamik içerik ayarlamasının yanı sıra, AES şifreleme ve komut ve kontrol (C2) iletişimlerini gizlemek için Kodlama gibi engelleme tekniklerini kullanmasında belirgindir.
Kimlik bilgileri girildikten sonra, kimlik avı portalı, e -posta adreslerinden coğrafi konum ayrıntılarına ve “GEOJS” gibi hizmetler yoluyla coğrafi konum detaylarına, doğrulama için uzak sunuculara kadar değişen verileri şifreler ve püskürtür.
Bu kampanyanın kimlik avı deneyimlerini uyarlama yeteneği, büyüyen altyapısı ile birleştiğinde, Phaas platformlarının yarattığı artan tehdidin altını çiziyor.
Bu araçlar geliştikçe, güvenlik ekipleri saldırı analizini geliştirmeli, tespit mekanizmalarını uyarlamalı ve siber güvenlik topluluğunda işbirliğini teşvik etmeli ve Storm-1575 gibi gruplar tarafından sunulan kalıcı ve karmaşık risklere karşı koymalı ve Tycoon2FA gibi platformlara karşı koymalıdır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!