Ekim 2025, kurumsal kimlik bilgilerini ve kritik altyapıyı hedeflemek için güvenilir bulut hizmetlerinden yararlanan kimlik avı kampanyaları ve fidye yazılımı çeşitleriyle siber tehditlerde kayda değer bir artışa işaret etti.
Saldırganlar, kimlik bilgileri hırsızlığı amacıyla Google, Figma ve ClickUp gibi platformları giderek daha fazla kötüye kullanırken, LockBit’in en son sürümü, erişimini sanallaştırılmış ortamlara genişletti.
Siber güvenlik firmaları tarafından analiz edilen bu olaylar, ANY.RUN altını çiziyor Statik göstergelerin ötesinde davranışsal tespit ihtiyacı.
Gelişmiş Kimlik Avı, Meşru Platformlardan Yararlanıyor
Ekim ayındaki kimlik avı saldırıları, Google Kariyer iş tekliflerini taklit eden bir kampanyayla başlayarak, geleneksel filtrelerden kaçınmak için büyük ölçüde meşru hizmetlere dayanıyordu.
E-postalar, satoshicommands.com gibi alan adları aracılığıyla kimlik bilgilerini toplamadan önce sahte uygulama sayfalarıyla, Salesforce yönlendirmeleriyle ve Cloudflare Turnstile CAPTCHA’larıyla yönlendirme yaparak mağdurları cezbetti.
Bu çok adımlı saldırı zinciri, hesapların ele geçirilmesini ve veri sızdırılmasını sağlamak için marka güveninden yararlanarak teknoloji ve danışmanlık sektörlerini hedef aldı.
Benzer şekilde, Figma’nın herkese açık prototipleri, paylaşılan “belge” davetlerinin sahte oturum açma sayfalarına yol açtığı Microsoft temalı kimlik avı için bir vektör haline geldi. saldırı analizi.
Storm-1747 gibi gruplar, e-posta güvenliğini aşan etkileşimli tuzaklar yerleştirmek için Figma’nın güvenilir alanını kullanarak bu saldırıların neredeyse yarısını gerçekleştirdi. Kurbanlar CAPTCHA’larla karşılaştı ve genellikle Mamba gibi operatörlerle bağlantılı kimlik bilgileri çalan sitelere yönlendirmelerle karşılaştı.
ClickUp, kimlik avı e-postalarının kullanıcıları doc.clickup.com adresine yönlendirdiği ve ardından nihai yük teslimi için Microsoft mikro alan adlarına ve Azure Blob Depolama’ya geçtiği bir yeniden yönlendirici olarak kötüye kullanımla karşı karşıya kaldı. Bu zincir, işbirliği trafiğini taklit ederek beyaz listelerin işaretlemesini zorlaştırdı ve yaygın kimlik bilgileri uzlaşmalarına yol açtı.
Göze çarpan bir gelişme, ilk olarak Mayıs 2025’te tespit edilen ancak Ekim ayında zirveye ulaşan yeniden kullanılabilir bir kimlik avı kiti olan TyKit’ti. Kullanıcıları Microsoft 365 taklitçilerine yönlendirmek için değerlendirme işlevlerini ve Base64 kodlamasını kullanarak, SVG dosyalarındaki karmaşık JavaScript’i gizledi.
Birden fazla bölgede finans, hükümet ve telekomünikasyonu etkileyen TyKit, hata ayıklamayı önlemeyi kullandı ve kaçırma için C2 kontrolleri düzenledi; bu da AitM teknikleri aracılığıyla yüzlerce hesap hırsızlığına yol açtı.
Fidye Yazılımı Farklı İşletim Sistemlerini Hedefliyor
LockBit 5.0, fidye yazılımı cephesinde platformlar arası bir tehdit olarak ortaya çıktı ve Windows’un ötesinde Linux ve VMware ESXi’ye genişleyerek grubun altıncı yıl dönümünü kutladı.
varyant analizi sanal makinelerin ve veri depolarının hızlı şifrelenmesine olanak tanıyan gelişmiş gizleme, DLL yansıtma ve analiz önleme rutinleri içeriyordu.
Bu, bağlı kuruluşların rastgele uzantılar ve günlük temizleme yoluyla müdahale çabalarını karmaşık hale getirerek veri merkezlerinin tamamını kesintiye uğratmasına olanak tanıdı.
ESXi yapısı özellikle endişe vericiydi; hipervizörlerin aynı anda birden fazla VM’yi şifrelemesini hedefliyordu; Linux ve Windows sürümleri ise bölge bazlı kısıtlamalar ve hizmet sonlandırmaları içeriyordu.
Saldırılar Avrupa, Kuzey Amerika ve Asya’daki işletmeleri vurarak ortak altyapı taktikleri nedeniyle kesintileri ve mali kayıpları artırdı.
Statik araçlar bu davranışları gözden kaçırdığından, güvenlik ekiplerinin SVG ve yönlendirme analizi için korumalı alan patlatmasına öncelik vermesi gerekir. Kimlik avına karşı dayanıklı MFA uygulamak, segy.zip veya rent.gworkmatch.com gibi şüpheli alanları izlemek ve tehdit istihbaratı akışlarını entegre etmek riskleri azaltabilir.
Düzenli yedeklemeler, VPN destekli erişim ve ANY.RUN gibi sanal alanlardaki davranışsal izleme, ortalama yanıt süresini kısaltarak izole göstergeleri proaktif kurallara dönüştürür. Saldırganlar bulutun kötüye kullanımını iyileştirdikçe kuruluşların bir sonraki artışa karşı koymak için taktiklerin provasını yapması gerekiyor.
Anında IOC zenginleştirmesi ve etkileşimli sanal alanla saldırıları erkenden yakalayın => Şimdi Dene
