Şubat 2025’in başlarında keşfedilen karmaşık yeni bir kimlik avı saldırısı, Güvenli E-posta Ağ Geçitlerini (SEG’ler) başarıyla atlıyor ve rastgele alan adı seçimi, dinamik UUID oluşturma ve tarayıcı oturumu manipülasyonunun ustaca bir kombinasyonu yoluyla çevre savunmalarından kaçıyor.
Saldırı, kötü amaçlı eklere ve sahte bulut işbirliği platformlarına yerleştirilmiş son derece uzmanlaşmış bir JavaScript’ten yararlanıyor ve bu da geleneksel güvenlik araçlarının tespit etmesini ve engellemesini olağanüstü derecede zorlaştırıyor.
Cofense Intelligence, bu gelişmiş tehdidi, kimlik bilgileri hırsızlığı taktiklerinde önemli bir evrimi temsil eden ve dünya çapındaki güvenlik uzmanları ve kuruluşların derhal ilgilenmesini gerektiren, devam eden bir kampanyanın parçası olarak tanımladı.
Yedekli alan adı yeniden denemelerine ve statik yönlendirmelere dayanan geleneksel kimlik avı komut dosyalarının aksine, bu tehdit, savunucuların e-posta güvenliğine yaklaşımını temelden değiştiren üç çarpıcı taktik kullanıyor.
Bu mekanizmaları anlamak, giderek karmaşıklaşan tehdit ortamına karşı savunmalarını güçlendirmek isteyen kuruluşlar için hayati öneme sahiptir.
İkili UUID Aldatma Stratejisi
Bu saldırının kalbinde, dikkate değer bir karmaşıklık sergileyen sıra dışı bir ikili UUID yaklaşımı yatıyor.
Komut dosyasını analiz ettiğimizde, jQuery’nin popüler web kitaplıklarını (cdnjs) barındırmak için meşru bir kaynaktan yüklenmesiyle başladığını görebiliriz.[.]bulut parlaması[.]com), sayfayı arka planda sessizce yönetmek için kullanılan yaygın bir web aracıdır.
Komut dosyası iki farklı tanımlayıcı oluşturur: genel kampanyayı izleyen sabit kodlu bir kampanya UUID’si (6fafd0343-d771-4987-a760-25e5b31b44f) ve bireysel kurbanları izleyen dinamik olarak oluşturulmuş bir oturum UUID’si.
Bu çift izleme mekanizması meşru uygulama programlama arayüzlerini (API’ler) taklit ederek, tehdit aktörlerinin kampanya düzeyinde analitiği korurken sızdırılan kimlik bilgilerini belirli kurbanlarla ilişkilendirmesine olanak tanır.
Bu yaklaşım, operasyonel güvenliği korurken ayrıntılı kurban takibi sağlama yeteneği açısından eşi benzeri görülmemiş bir yaklaşımdır ve gelişmiş teknik yeteneklere sahip, iyi kaynaklara sahip bir tehdit aktörünü akla getirir.
Sabit kodlu UUID büyük olasılıkla bir kampanya veya hedef grup işaretçisi olarak hizmet ediyor ve bu komut dosyasının, farklı sahte markalara sahip birden fazla kimlik avı kampanyasına dağıtılmak üzere tasarlanmış yeniden kullanılabilir bir paketin parçası olabileceğini gösteriyor.
Bu modüler yaklaşım, saldırganların minimum kod değişikliğiyle farklı kurumsal hedeflere uyum sağlarken geliştirme yatırımlarının getirisini en üst düzeye çıkarmasına olanak tanır.
Bu komut dosyası, kimlik avı saldırılarında yaygın olan geleneksel çok alanlı yük devretme yaklaşımını kullanmak yerine, görünüşte rastgele, sözsüz dokuz alandan oluşan sabit kodlu bir listeden tek bir rastgele .org alanı seçer.
Bu olağandışı taktik, ağ trafiğini önemli ölçüde azaltır ve izinsiz giriş tespit sistemlerinin genellikle işaretlediği, farklı alanlara gönderilen birden fazla başarısız istek gibi açıklayıcı işaretleri en aza indirir.
Yük devretme mantığını ortadan kaldıran saldırgan, yürütme başına tek bir bağlantıya güvenerek tespit edilebilirliği azaltırken saldırının daha meşru API trafiği gibi görünmesini sağlar.
.com, .dev veya .xyz gibi daha sık kötüye kullanılan TLD’ler yerine .org alan adlarını kullanmanın kasıtlı seçimi, e-posta güvenliği algılarına ilişkin stratejik bir anlayışı yansıtıyor. .org alan adı son eki meşruluk ve güvenilirlik algısını taşır ve güvenlik araçları tarafından engellenme olasılığını azaltır.
Bu, .org alan adlarının .com muadillerine göre önemli ölçüde daha az istismar edildiğini gösteren son tehdit istihbaratıyla uyumludur ve bu saldırıya geleneksel itibara dayalı filtreleme sistemlerini aşma konusunda ek bir avantaj sağlar.
Sunucu Odaklı Dinamik Aldatma
Bu saldırının en yanıltıcı yönü, dinamik sayfa değiştirmeyi içerir; komut dosyası, tarayıcının adres çubuğundaki URL’yi değiştirmeden, temelde tüm web sayfasını sunucu tarafından sağlanan içerikle yeniden yazar.
Kurbanın e-posta adresini ve oturum UUID’sini içeren bir HTTPS POST isteğini başarıyla gönderdikten sonra, saldırganın sunucusu, kurbanın kuruluşuna göre özel hazırlanmış bir oturum açma formuyla yanıt verir.
MITRE ATT&CK çerçevesi T1185 (Tarayıcı Oturumu Ele Geçirme) ile uyumlu olan bu teknik, saldırının etkinliğini artırırken kurbanın kimlik avı sayfasının meşruluğuna olan güvenini korur.
Saldırının dağıtım vektörleri arasında HTML tabanlı e-posta ekleri ve Microsoft OneDrive, SharePoint Online, DocuSign, Google Docs ve Adobe Sign gibi güvenilir bulut işbirliği platformlarının kimliğine bürünen sahte bağlantılar yer alıyor.
Bu çok vektörlü yaklaşım, mağdur katılımını ve kimlik bilgileri uzlaşma oranlarını en üst düzeye çıkarmak için marka bilinirliğinden yararlanırken geniş kampanya erişimi sağlar.
Kuruluşlar, gelişen bu tehdide karşı savunma sağlamak için e-posta güvenlik kontrollerini derhal gözden geçirmeli ve geleneksel ağ geçidi filtrelemesinin ötesinde ek doğrulama mekanizmaları uygulamalıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.