Tedarik zincirindeki güvenlik açıklarından yararlanmaya agresif bir şekilde yönelen bir tehdit topluluğu olan “Dağınık Lapsus$ Avcıları”ndan sofistike, karmaşık yeni bir siber saldırı ortaya çıktı.
Bu son kampanya, kritik bir müşteri destek platformu olan Zendesk’i hedef alıyor ve güvenilir bir iş aracını etkili bir şekilde kurumsal casusluk için bir fırlatma rampasına dönüştürüyor.
Saldırganlar, znedesk gibi yanıltıcı örnekler de dahil olmak üzere 40’tan fazla yazım hatası alan adını başarıyla kaydettirdi[.]com ve vpn-zendesk[.]com.
Bu siteler, yasal oturum açma ortamlarını taklit edecek şekilde titizlikle tasarlanmıştır ve şüphelenmeyen kullanıcıların kimlik bilgilerini ele geçiren sahte Tek Oturum Açma (SSO) portallarını barındırır.
Kampanyanın altyapısı, standart tespit protokollerini aşmak için koordineli bir çabayı ortaya koyuyor. Alan adları sürekli olarak NiceNic aracılığıyla kaydedildi ve gerçek barındırma kökenlerini gizlemek için Cloudflare maskeli ad sunucularını kullanıyor.
Aktörler, bu gizleme tekniklerini kullanarak, kimlik avı sayfalarının, savunmacılar tepki vermeden önce önemli miktarda yüksek ayrıcalıklı kimlik bilgilerini toplayacak kadar uzun süre aktif kalmasını sağlar.
Bu, küresel işletmelerin kullandığı yaygın platformları hedeflerken operasyonel gizliliği korumalarına olanak tanıyan, yeteneklerinde açık ve stratejik bir evrim olduğunu gösteriyor.
Bu hedefe yönelik yaklaşımın etkisi, basit kimlik bilgisi hırsızlığının çok ötesine uzanıyor. Reliaquest güvenlik analistleri, kötü amaçlı yazılımı tespit etti ve kampanyanın, grubun Ağustos 2025’te Salesforce’a yönelik önceki saldırılarıyla farklı alan adı kayıt özelliklerini paylaştığını belirtti.
Saldırganlar ilk kimlik doğrulama katmanını atladıktan sonra kurumsal ağ boyunca yanal hareketi kolaylaştıran kalıcı bir dayanak noktası oluştururlar.
Bu erişim, Eylül 2025’te Discord’u ihlal ettiklerinde görülen büyük veri hırsızlığını yansıtacak şekilde, fatura bilgileri ve devlet kimlikleri de dahil olmak üzere son derece hassas müşteri verilerini çalmalarına olanak tanıyor.
Destek Biletlerinin Silahlandırılması
Grubun en tehlikeli taktiği, geleneksel çevre savunmalarını atlatmak için meşru destek biletlerinin doğrudan silah haline getirilmesidir.
Yalnızca harici kimlik avı e-postalarına güvenmek yerine, sahte biletleri doğrudan bir kuruluşun Zendesk portalına gönderiyorlar.
Bu bildirimler genellikle acil sistem yönetimi talepleri veya parola sıfırlama sorguları gibi görünerek destek temsilcilerini doğrulama olmadan hareket etmeye zorlayan uydurma bir aciliyet duygusu yaratır.
Bu biletlerin içine, uç noktayı tehlikeye atmak için tasarlanmış yazım hatası yapılmış alan adlarına veya kötü amaçlı yüklere giden bağlantılar yerleştirilmiştir.
Bir yardım masası çalışanı destek bildirimiyle etkileşime girdiğinde yanlışlıkla Uzaktan Erişim Truva Atlarının (RAT) indirilmesini tetikler.
Bu, saldırganlara kalıcı uzaktan kontrol sağlayarak komutları yürütmelerine ve etkinlikleri izlemelerine olanak tanır.
.webp)
Grup, bu karmaşık operasyonlarla küstahça övünüyor; özellikle olay müdahale ekiplerini, yaklaşan 2026 tatil sezonu boyunca hayati önem taşıyan müşteri veritabanlarını toplamaya hazırlanırken günlüklerini yakından izlemeleri konusunda uyarıyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
