Cyble Tehdit İstihbarat Araştırmacıları, Macar hükümet hedeflerine yönelik bir kimlik avı kampanyası belirlediler ve daha fazla soruşturmanın bankacılık ve lojistik sektörlerini hedefleyen daha geniş küresel saldırı kampanyalarına bağlı olduğunu ortaya koydu.
Araştırmacılar tarafından keşfedilen ilk kimlik avı bağlantısı, Macaristan’ın bilgisayar acil müdahale ekibi Huncert için sahte bir giriş sayfasına yol açtı, Cyble bugün bir blog yazısında söyledi. Bağlantı, kullanıcının kimlik bilgilerini gönderme şansını artırmak için kurbanın e -posta adresi ile kullanıcı adı alanını önceden doldurdu.
Kimlik avı bağlantıları Logokit Kimlik avı kiti kullanılarak oluşturuldu, Cyble belirlendi. Kimlik avı sayfaları Amazon S3 (AWS) ‘de “radarın altında kalmak ve potansiyel kurbanlar arasında güvenilirliği artırmak” için barındırıldı. Sayfalar ayrıca meşruiyet duygusunu daha da ileriye götürmek için Cloudflare Turnstile’ı entegre etti.
Bu özellikler, kimlik bilgilerinin keşfedilmesini hasat etmesine yardımcı olmuş olabilir, çünkü araştırmacılar çalışmaları sırasında Virustotal’da sıfır tespit bulmuşlardır.
Birden fazla saldırı kampanyasının arkasında logokit kimlik avı kiti
Cyble Araştırma ve İstihbarat Laboratuarları (CRIL) araştırmacıları, kampanyada kullanılan kimlik avı URL’lerinde kullanıcı adı alanında önceden doldurulmuş meşru bir Huncert e -posta adresi kullandığını söyledi.
Cyble, kampanyada kullanılan iki kimlik avı URL’sini içeriyordu:
- uçuş[.]S3.us-Eest-2.amazonaws.com/q8t1vrzw3l7xpk0mb9cfn6hj2suygzaxeoqphdvlt5bmnejorgiscfuyxdav349/[email protected]
- uçuş[.]S3.us-Eest-2.amazonaws.com/q8t1vrzw3l7xpk0mb9cfn6hj2suygzaxeoqphdvlt5bmnejorgiscfuyxdav349/[email protected]
Kimlik avı sayfası “meşru bir giriş portalına yakından benzeyecek şekilde” tasarlanmıştır, Cyble ve Cloudflare Turnike doğrulaması “kullanıcıları sayfanın güvenli olduğuna inanmaya kandırabilir” (aşağıdaki resim).
Sahte bir hata mesajı kurbanlara “Hata gönderme formu. Lütfen tekrar deneyin” diyor.
Kimlik avı sitesi, hedeflenen kuruluşların alanından logoyu almak için Clearbit Logo API’sını kullanıyor ve Google S2 Favicon, Alan adını URL’deki e -posta adresinden çıkararak Favicon simgesini alır.
Araştırmacılar, yaygın olarak kullanılan Logokit kimlik avı kiti “kurbanın e-posta adresi, özdeş düzenler ve Clearbit ve Google’ın Favicon API gibi hizmetlerden gelen gerçek zamanlı logo ile gömülü URL’ler” dedi.
Cyble, “Logokit, sadeliği ve otomasyonu nedeniyle kimlik avı kampanyalarında aktif olarak kullanılıyor” dedi. “Tehdit aktörleri, URL’nin etki alanına göre markalaşma simgelerini otomatik olarak alarak, kimlik avı kitindeki simgeleri veya logoları manuel olarak bulma ve güncelleme ihtiyacından kaçınarak işlemi daha ölçeklenebilir, ikna edici ve verimli hale getirir.”
Mağdur kimlik bilgileri MettCoint’e gönderildi[.]com/js/error-200.php. Araştırmacılar MettCoint’te açık bir dizin yolu buldu[.]com birkaç PHP dosyası ve saldırı öğesi içeren ve dizinlerden biri Wetransfer dosya paylaşım portalını taklit eden bir kimlik avı sayfası içeriyordu.
OSINT Intel, etki alanı mettcoint’in[.]com diğer kimlik avı saldırılarında kullanılmıştır. Devam eden kimlik avı kampanyasındaki diğer hedefler arasında Papua Yeni Gine’deki Kina Bank, Amerika Birleşik Devletleri’ndeki Katolik Kilisesi ve Suudi Arabistan’daki lojistik şirketleri vardı.
Mettcoint[.]Com, Ekim 2024’te kaydedildi ve Şubat 2025’ten beri kimlik avı kampanyalarında aktif olarak kaldırıldığını söyledi.
Cyble, “Özellikle, alanın şu anda Virustotal’da sıfır tespiti var ve gizlice çalışmasına izin veriyor” dedi. “Bu yazıdan itibaren alan adı hala canlı ve işlevseldir. Devam eden kullanılabilirliği ve tespit edilmemiş statüsü, kimlik avı kampanyasının hala aktif olduğunu ve tehdit aktörlerinin küresel ölçekte kurbanları hedeflemeye devam ettiğini gösteriyor.”
Kimlik avı saldırılarına karşı korumak
Cyble, MettCoint kimlik avı kampanyalarının siber güvenlik savunmalarında büyük bir zayıflık ortaya koyduğunu söyledi.
Araştırmacılar, “İnsan unsuru, siber tehditlerin uzlaşmalarını önleyen temkinli ve sorumlu kullanımla hem siber güvenlikteki en güçlü hem de en zayıf bağlantı olmaya devam ediyor” diye yazdı. “Ancak bunun gibi kampanyalar, bu unsuru güvenilir görünerek kullanıyor ve onları siber meraklı çalışanlar için bile birincil endişe haline getiriyor.”
Cyble, tehditleri otomatik olarak tanımlayabilen ve engelleyebilen bir tehdit istihbarat çözümüne ek olarak, kimlik avı saldırılarını durdurmaya yardımcı olabilecek ek siber güvenlik en iyi uygulamaları olduğunu söyledi. Bu uygulamalar şunları içerir:
- SMS veya e -postalar yoluyla alınan bağlantılara karşı dikkatli olmak
- Tüm bağlı cihazlarda iyi antivirüs ve internet güvenlik yazılımı kullanma
- Çalışanları kendilerini kimlik avı ve güvenilmeyen URL’ler gibi tehditlerden nasıl koruyacakları konusunda eğitmek
- Kötü niyetli bağlantılar veya eklerle kimlik avı e -postalarını algılamak ve engellemek için güvenli e -posta ağ geçitlerini kullanma
- Çalınan kimlik bilgilerinin sömürülmesini sınırlamak için çok faktörlü kimlik doğrulama (MFA) kullanma
- Olağandışı giriş davranışı veya şüpheli IP adreslerinden erişim için izleme
- Cihazları, işletim sistemlerini ve uygulamaları güncel tutmak.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.