Dağınık örümcek, 2022’nin başlarında siber güvenlik aşamasına, SIM-Swinging bir mürettebattan biraz daha fazlası olarak patladı, ancak 2025 ortalarında, dünyanın en çok teknolojiye bağımlı firmalarını ihlal etmek için gelişmiş kimlik avcı araçlarından yararlanan tam ölçekli, finansal olarak motive olmuş bir tehdit grubuna dönüştü.
Kolektifin ayırt edici özelliği, benzer şekilde benzer alanları döndüren-genellikle “Okta”, “VPN” veya “Yardım Masası” gibi anahtar kelimelerle bağlanan, onları yakmadan bir haftadan kısa bir süre önce, geleneksel blok listelerini neredeyse işe yaramaz hale getiren çevik bir altyapıdır.
Geçen yıl boyunca, araştırmacılar dağınık örümceği yönetilen hizmet sağlayıcılara (MSP’ler) ve BT yüklenicilerine karşı bir dizi koordineli müdahaleye bağladılar ve müşteri ağlarına “teke çok” erişimlerinden yararlandı.
.png
)
Reliaquest analistleri, çetenin kayıtlı alanlarının yüzde 81’inin, sistem yöneticilerini ve yöneticilerini Evilginx destekli kimlik bilgisi tuzaklarına çekmek için tasarlanmış bir taktik olan teknoloji satıcılarını taklit ettiğini belirledi.
Sonuç, takip eden bir fidye yazılımı dalgası, çift genişlemeli şemalar ve Atlantik’in her iki tarafındaki perakendecileri ve SaaS sağlayıcılarını binlerce ayrıcalıklı hesabı sıfırlamaya zorlayan veri-hırsızlığı olayları oldu.
Mayıs 2025, Marks & Spencer ve Co-op gibi İngiltere hane isimlerindeki ihlallerin-Tata Danışmanlık Hizmetleri’nde uzlaşmış kimlik bilgilerine dönüştüğü için, dağınık Spider’ın sosyal mühendislik oyun kitabının derinliğini ortaya çıkardığı için bir dönüm noktası oldu.
Batı ofis saatlerine denk gelen “akşam vardiyaları” çalışan akıcı İngilizce konuşan arayanlar, CFO veya BT personeli olarak poz verdi, yardım-desk ajanlarını çok faktörlü kimlik doğrulama (MFA) belirteçlerini sıfırlamaya ikna etmek için Evilginx’e yanal hareket için gereken son oturum kurabiyesini sağladı.
.webp)
Derin dalış: Evilginx ters proxy ile enfeksiyon mekanizması
Sadece kullanıcı adlarını ve şifreleri toplayan klasik kimlik avı sitelerinin aksine, Evilginx, mağdur ve meşru kimlik sağlayıcısı arasındaki her HTTP işlemini engelleyen şeffaf bir ters vekil olarak çalışır.
Bir hedef yazım hatalı bir bağlantıyı tıkladığında –sso.c0mpany.comörneğin-tarayıcı, saldırgan kontrollü sunucu ile TLS kurar ve bu da trafiği gerçek Okta uç noktasına aktarır.
Sinek üzerine enjekte edilen javascript, Set-Cookie Başlıklar, kurban farkında olmadan ilerlerken düşmana yeni oturum jetonları teslim ediyor.
# Minimal Evilginx host configuration
site example_okta {
proxy_pass https://auth.okta.com;
sub_filters {
"auth.okta.com" "sso.c0mpany.com";
}
match_and_replace_header "Set-Cookie" "(.*)" "$1;HttpOnly;Secure";
remove_security_headers on;
}Oturum çerezi hasat edildikten sonra, dağınık örümcek komut dosyası Okta’sına bir API çağrısı /api/v1/sessions/me VPN veya SaaS konsollarına dönmeden önce geçerliliği doğrulamak için son nokta.
Kalıcılık tasarım tarafından kısa ömürlüdür, Reliaquest telemetri, en kötüsginx alanlarının yedi gün içinde devre dışı bırakıldığını ve adli rekonstrüksiyonu karmaşıklaştırdığını gösterir.
Tespit, statik URL’ler yerine taşıma tabakası anomalilerine bağlıdır. Güvenlik ekipleri, düşük geri alınan CAS aracılığıyla verilen TLS sertifikalarını parmak izlemeye ve nadiren görülen alt alan yapıları için DNS taleplerinde ani artışlarla ilişkilendirmeye başladı.
MFA yorgunluğunun silahlandırılabileceği durumlarda, kuruluşlar kimlik avına dirençli kimlik doğrulamalara (FIDO2/Webauthn) geçiyor ve tüm yardım-desk sıfırları için çağrı arkası doğrulama oluşturuyor ve ortada proxy gambitini etkili bir şekilde nötralize ediyorlar.
Aynı çalınan seanslar son zamanlarda saldırganların SimpleHelp RMM’yi silahlandırmasına ve yüzlerce aşağı akış ana bilgisayarını birkaç dakika içinde şifrelemesine izin verdi.
Bu tür savunmalar her yerde bulunana kadar, dağınık örümcek en iyi küresel bir risk olarak kalacak ve sosyal mühendisliği teknik alt ile zahmetsizce dokunacak, saklama yapmak için
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi