TRAC Labs ekibi yakın zamanda kurumsal ve kamu çalışanlarını hedef alan “Gabagool” adlı karmaşık bir kimlik avı kampanyası ortaya çıkardı.
Bu kampanya, kötü amaçlı içeriği barındırmak için Cloudflare’in R2 depolama hizmetinden yararlanıyor ve güvenlik filtrelerinden kaçmak için Cloudflare’in güvenilir itibarından yararlanıyor.
Saldırı, güvenliği ihlal edilmiş posta kutularının diğer çalışanlara kimlik avı e-postaları göndermesiyle başlar. Bu e-postalar, yerleşik kötü amaçlı URL kısaltılmış bağlantı içeren, belge görünümüne bürünmüş bir resim içerir.
Tıklandığında kullanıcılar, Cloudflare R2 paket sayfasına gitmeden önce bir dosya paylaşım platformları zinciri aracılığıyla yönlendirilir.
TRAC Labs ekibi araştırmacıları, kimlik avı açılış sayfasının şu URL biçimine sahip bir Cloudflare R2 paketinde barındırıldığını keşfetti: pub-{32 onaltılık karakter}.r2.dev/{html_filename}.html.
Bu kurulum, saldırganların Cloudflare’in güvenilir altyapısını kullanarak güvenlik önlemlerini atlamasına olanak tanır.
Siber Güvenlik Yatırım Getirisini En Üst Düzeye Çıkarma: KOBİ ve MSP Liderleri için Uzman İpuçları – Ücretsiz Web Seminerine Katılın
Teknik Analiz
Gabagool, bot etkinliğini tespit etmek ve bunlardan kaçınmak için çeşitli yöntemler kullanır:
- Web sürücüsü kontrolleri
- Fare hareketi algılama
- Çerez testleri
- Hızlı etkileşim tespiti
Bot etkinliğinden şüpheleniliyorsa kullanıcı meşru bir alana yönlendirilir. Aksi takdirde kimlik avı sayfası 2 saniyelik bir gecikmeyle yüklenir.
.webp)
Kimlik avı sayfası, sunucu adresini korumak için AES şifrelemesini kullanır. Kullanıcı kimlik bilgilerini yakalar ve bunları hasat edilmek üzere saldırganın sunucusuna (o365.alnassers.net) gönderir.
Gabagool, aşağıdakiler de dahil olmak üzere çeşitli çok faktörlü kimlik doğrulama (MFA) yöntemlerini kullanabilir:
- TelefonUygulama Bildirimi
- TelefonAppOTP
- Tek YönSMS
- TwoWayVoiceMobil
- İki Yönlü Ses Ofisi
Bu yetenek, saldırganların potansiyel olarak MFA korumalarını atlamasına olanak tanır.
Gabagool saldırılarını tespit etmek için güvenlik ekipleri şunları yapmalıdır:
- Cloudflare R2 paketlerine olağandışı bağlantıları izleyin
- o365.alnassers.net gibi bilinen kötü amaçlı sunuculara giden trafiği izleyin
- Şüpheli sunuculara gönderilen ağ trafiği verilerini inceleyin
- Potansiyel tehditleri belirlemek için genel URLScan sorgularını kullanın
Bunun yanı sıra araştırmacılar, kuruluşların uyanık kalmaları ve güvenlik önlemlerini Gabagool gibi karmaşık kampanyalara karşı koruma sağlayacak şekilde uyarlamaları konusunda ısrar etti.
SOC/DFIR Ekiplerinden misiniz? – ANY.RUN ile Kötü Amaçlı Yazılım Dosyalarını ve Bağlantılarını Analiz Edin -> Ücretsiz Deneyin