Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
Altyapı Sorunlarından Sorumlu Tutulanlar; Kullanıcıların Benzer FlowerStorm Hizmetine Geçtiği Görünüyor
Mathew J. Schwartz (euroinfosec) •
23 Aralık 2024
Yıl sonu yaklaşırken, özellikle siber suçlar cephesinde, eski ve yeni yeniye doğru gidiyor.
Ayrıca bakınız: İsteğe Bağlı | 2024 Kimlik Avı Analizleri: 11,9 Milyon Kullanıcı Davranışı Riskiniz Hakkında Neleri Ortaya Çıkarıyor?
Siber güvenlik firması Sophos’a göre, bir zamanların yüksek performanslı hizmet olarak siber suç operasyonu Rockstar 2FA, hizmet olarak kimlik avı saldırıları gerçekleştirerek çöktü ve yandı. Hizmet sorunlarının ardından abonelerin, araştırmacıların FlowerStorm adını verdikleri, muhtemelen ilgili başka bir operasyona geçtikleri görülüyor.
Hizmet olarak kimlik avı kitleri, potansiyel suçluların kendi gerçek görünümlü oturum açma ekranlarını ve arka uç kimlik avı altyapısını sıfırdan oluşturma zorunluluğunun getirdiği angaryayı ortadan kaldırmasına yardımcı olur. Siber güvenlik firması Trustwave SpiderLabs’ın geçen ay bildirdiğine göre, Rockstar 2FA veya Rockstar2FA 2023’ün sonlarında piyasaya sürülürken, araç setine bağlı saldırılar Ağustos ayında arttı. Bu saldırılar, potansiyel kurbanları büyük ölçüde sahte Microsoft 365 veya Office 365 oturum açma sayfalarına yönlendirdi ve alışılmadık bir şekilde bu açılış sayfalarının çoğu otomotiv temasına sahipti. Saldırılardan bazıları, güvenlik araçlarını atlatmak ve kullanıcıları saldırganların kontrolündeki kimlik avı sitelerine yönlendirmek için tasarlanmış kötü amaçlı QR kodlarının kullanımını da içeriyordu.
PaaS kitleri kendilerini kullanım kolaylığı ve paranın karşılığını temel alarak pazarlıyor ve Rockstar 2FA reklamları da kullanıcıların kimlik avı kampanyalarını özel bir yönetici paneli sağlayan bir Telegram botu aracılığıyla kontrol etme yeteneğini güçlendirdi. Hedeflere göndermek için URL’ler ve ekler oluşturmanın yanı sıra özelleştirilmiş temalar oluşturma yeteneğinin de tanıtımını yaptı.
“Telegram’daki pazarlama gönderileri, iki faktörlü kimlik doğrulama (2FA) bypass, 2FA çerezlerinin toplanması, antibot koruması, çoklu giriş sayfası temaları, rastgele kaynak kodları ve ekler, tamamen tespit edilemeyen (FUD) bağlantılar, Telegram bot entegrasyonu dahil olmak üzere Rockstar 2FA’nın çeşitli özelliklerini sergiliyor. ve diğerlerinin yanı sıra kullanıcı dostu bir yönetici paneli.” SpiderLabs dedi.
Fiyatlandırma, kullanıcıların PaaS arka uç altyapısına erişmesi için iki haftalık abonelik için 200 ABD dolarından, iki haftalık API yenilemesi için 180 ABD dolarından ve ayrıca çeşitli tek seferlik veya aylık abonelik seçeneklerinden başladı.
Saldırılarda iletilen bir URL’yi ziyaret eden kurbanlar, kimlik bilgilerini çalmak üzere tasarlanmış, üçüncü taraf bir sunucuda barındırılan, gerçek görünümlü bir giriş sayfasına yönlendirilecek. “Bu arka uç sunucular büyük ölçüde açıktı .ru
, .de
Ve .moscow
Sophos, “kayıtlı alan adları” dedi. “Tuzak sayfalar sıklıkla arka uç sunucularla aynı ana bilgisayarlarda barındırılıyordu.”
Rockstar 2FA Çevrimdışı
Sophos, Rockstar 2FA ve onun suça meyilli aboneleri için tek bir sorun olduğunu söyledi: 11 Kasım’da tüm operasyon boşa gitmiş gibi görünüyordu. “Kimlik avı hizmetinin altyapısının unsurlarına artık erişilemiyor ve bir HTTP 522 yanıtı döndürüyor; bu da bunların Cloudflare içerik dağıtım ağından kesildiğini gösteriyor” dedi. “Hizmetin komuta ve kontrolüyle ilgili telgraf kanalları da çevrimdışı görünüyor.”
Herhangi bir yasa dışı hizmetin azalması ve çökmesi, kolluk kuvvetlerinin veya rakiplerin hizmete sızıp onu bozup bozmadığı sorusunu gündeme getiriyor. Sophos durumun böyle görünmediğini söyledi. Araştırmacılar, operasyonu geliştiricilerin hizmeti yeniden sağlamak için tekrar tekrar çaba harcadıklarını ancak şu ana kadar başarılı olamadıklarını gördüklerini söyledi. “Bunun nedeni bir web barındırma sorunu veya Rockstar 2FA operatörlerini rahatsız eden başka bir teknik sorun olabilir” dediler. “Hizmeti çalıştırmak için kullanılan Telegram botlarının da kapalı görünmesi, operasyonda daha büyük bir kesintinin olduğunu gösteriyor.”
22 Kasım itibarıyla, yani kesintinin başlamasından 10 gün sonra Sophos, ilk olarak Haziran ayında başlatıldığı anlaşılan ve RockStar 2FA ile bazı benzerlikler gösteren FlowerStorm’a bağlı faaliyetlerde bir artış gözlemlediğini söyledi. Cloudflare’in içerik dağıtım ağını kötüye kullanmaya çalışıyor. Diğer kimlik avı araç takımları bu tür işlevsellik sunarken, “FlowerStorm ve Rockstar kimlik avı portallarının yapısı en azından ortak bir kökene işaret ediyor” ve hatta “paylaşılan bir altyapıya” kadar uzanabilir.
Hizmet resmi olarak FlowerStorm olarak bilinmiyor. Daha ziyade bu, Microsoft’un “Storm” kod adını yeni ortaya çıkan gruplar için benimseyen ve bunu operatörlerin IvyLeaf, ElderBlossom, NectarineBlossom ve PeachLeaf gibi çiçek adlarını taşıyan web sayfaları için HTML başlıkları kullanma tutkusuyla birleştiren güvenlik araştırmacıları tarafından seçilen bir addır.
FlowerStorm, kullanıcı sayısındaki artışa hazırlıksız görünüyor. Sophos, “FlowerStorm’un hızlı yükselişi, operasyonlarında bazı hatalara ve yanlış yapılandırmalara yol açarak bunların kolayca kesintiye uğramasına da yol açtı” dedi. “Bu hatalar aynı zamanda bize arka uç operasyonlarını daha yakından inceleme fırsatı da verdi.”
FlowerStorm kullanıcıları için en önemli hedefler son zamanlarda hedeflerin %65’ini oluşturan ABD kuruluşlarının çalışanları oldu; bunu %9 ile Kanada, %5 ile Birleşik Krallık, %4 ile Avustralya, İtalya ve İsviçre merkezli kuruluşların çalışanları izledi. %3 ve Almanya %1. “Bu lokasyonların ötesinde Singapur, Hindistan, İsrail, Yeni Zelanda ve Birleşik Arap Emirlikleri hedeflerin kalan %5’ini oluşturuyor” dedi.
DadSec’ten Sonra Yaşam, Phoenix
Rockstar 2FA FlowerStorm’a bağlanırsa, bu bir çevrimiçi suç teşkilatının bir başkasıyla yakından ilişkili olduğu ilk olay olmayacak. Araştırmacılar, Rockstar 2FA kimlik avı kitinin, hem Mayıs 2023’te piyasaya sürülen DadSec kimlik avı kitinin hem de 2023 sonlarında piyasaya sürülen Phoenix’in bir güncellemesi gibi göründüğünü söyledi.
Microsoft, DadSec’i Storm-1575 kod adını kullanarak takip ediyor ve Ekim 2023’te, operasyonun “ilk olarak Mayıs 2023’te görülmesinden bu yana Microsoft tarafından takip edilen en yüksek hacimli kimlik avı saldırılarından bazılarından sorumlu olduğunu” bildirdi.
Microsoft, DadSec’in popülaritesinin anahtarının “çok sayıda aktörün hazır oluşturulmuş kimlik avı sayfalarını ve alan adlarını kullanarak kampanyaları kolayca başlatmasına olanak tanıyan açık kayıt süreci” olduğunu söyledi.
Araştırmacılar, pek çok kimlik avı kitinin, birden fazla kuruluş arasında köprü kurmak için tasarlanan, çok aşamalı, ortadaki düşman (diğer adıyla AiTM) saldırıları için kullanıldığını ve çoğu zaman iş e-postası uzlaşma planlarının peşinde olduğunu söylüyor.
Microsoft, “Ortadaki düşman, kimlikleri tehlikeye atmak veya başka eylemler gerçekleştirmek amacıyla kullanıcılar ile meşru bir kimlik doğrulama hizmeti arasındaki kimlik doğrulamasını engellemeyi amaçlayan bir saldırı türüdür” dedi.
Bazı durumlarda saldırganların, aynı kuruluşun içindeki ve dışındaki yüksek değerli hedeflerin peşinde, bir kuruluş içindeki ele geçirilmiş bir e-posta hesabını kullandığı belirtildi. Güvenliği ihlal edilmiş olsa da meşru bir e-posta hesabından gelen bu tür kimlik avı iletişimleri, alıcının bunları tespit etmesini zorlaştırabilir.