E -posta filtreleme, kimlik doğrulama prosedürleri ve uç nokta korumasına birkaç önemli yatırım olan saldırganlar, kimlik avı hala büyük bir siber telaş olduğu bir zamanda otomatik güvenlik önlemlerini atlatma tekniklerini sürekli olarak geliştirmektedir.
Değerlendirici Güvenlik Operasyon Merkezi (SOC) tarafından tanımlanan yeni bir kampanya, bu evrimi örneklemektedir ve sahte Red Bull işe alım e -postaları olan iş arayanları hedeflemek için sofistike bir aldatmaca kullanır.
Bu saldırılar, SPF, DKIM ve DMARC kontrollerinden geçen kötü amaçlı yükler sunmak için meşru e-posta hizmetlerinden, geçici VPS altyapısından ve marka taklitinden yararlanır ve nihayetinde kurbanları Facebook girişlerini taklit eden kimlik bilgisi olan sitelere dönüşür.
Gelişen Taktikler Bypass Enterprise Savunmaları
Saldırının anatomisini e -posta başlıklarından TLS parmak izi analistlerine inceleyerek, daha geniş bir birbirine bağlı alan ve IP ağını ortaya çıkardı ve yönetilen SOC istemcileri arasında proaktif algılama sunumlarını sağladı.
OSINT tarafından artırılan bu insan liderliğindeki tehdit avı, izole olayları ölçeklenebilir savunmalara dönüştürür ve uyarlanabilir rakiplerin karşı çıkmasında tamamen otomatik araçların sınırlamalarını vurgular.
Red Bull iş fırsatları olarak görünen kimlik avı e-postaları, MailGun’un yüksek römorklu IP havuzları aracılığıyla kimliği doğrulanmış olan mesajlaş[email protected] gibi meşru görünüşte meşru alanlardan kaynaklanmaktadır.
Başlıklar, Microsoft filtrelerinden düşük spam güven seviyeleri (SCL = 1) ile 198.244.57.62 gibi gönderen IP’leri ortaya çıkarır ve temiz gelen kutusu teslimatına izin verir.
Bununla birlikte, [email protected] gibi anomaliler, kötüye kullanıma eğilimli sağlayıcılarda barındırılan gizlenmiş altyapıya işaret ederek hileyi açığa çıkarır.
Gömülü bağlantılar, kullanıcıları çok aşamalı bir cazibe sunan Redbull-Social-Media-Manager.apply-to-get-reged.com gibi alanlara yönlendirir: tarayıcılar caydıracak bir Recaptcha Mücadelesi, Glassdoor-esque iş gönderimi ve sahte bir Facebook giriş sayfası.
Tarayıcı Devtools aracılığıyla ağ analizi /login_job uç noktaları için posta taleplerini gösterir.
Altyapı analizi kampanya ölçeğini ortaya çıkarır
Kimlik avı alanının TLS sertifikasından (cn = bot2shimeta.charliechaplin7eont.space, Let’s şifreleme tarafından verilen) pivoting, jarm parmak izi (27d40d40d00040d00042d43d0000d2e61cae37a985f75eFb33) yoluyla kritik bilgiler verir.
Bu parmak izini ihraççı detayları ve ASN 63023 (AS-Globaltelehost) birleştiren Shodan sorguları, MrBeastmeta.Charliechaplin7eont.Space ve SamkyMeta.charliechaplin7eont.space gibi alt alanlar da dahil olmak üzere şüpheli konakçı kümelerine daralır.
Redbull-Jobs.jobapply-sareers.com gibi virustotal grafiklerle ilgili pasif Grafikler ile ilgili pasifler, Porkbun Registrar aracılığıyla 30 Mayıs 2025’te oluşturulan şablonlu bir kimlik avı operasyonunu gösteren şablonlu bir kimlik avı operasyonunu gösterdi.
Datawagon LLC kapsamında 172.81.134.78’de barındırılan Yanıtlama Etki Alanı User0212-tripe.com, iyi huylu teknoloji sitelerini taklit eden statik HTML cepheleri içerir, ancak parmak izlerini ölçeklenebilir saldırılar için otomatik kit kiralamaları önerir.
Bu kampanya, MailGun gibi güvenilir hizmetleri kötüye kullanıyor ve hadi saygın kimlik doğrulama konusunda piggyback’i şifreleyerek, markalı yemlere kullanıcı güvenini kullanırken filtreleri atlıyor.
Rapora göre, Evalis’in SOC tarafından tasarlanmış tespit eşleştirme, T1566.002 (Spearphishing bağlantısı) ve T1071.001 (Web protokolleri) gibi ATT & CK teknikleri, e -posta IOC’leri kullanıcı etkileşimlerini avlamak için uç nokta ve ağ günlükleriyle ilişkilendiriyor.
Sorgular şüpheli gönderen kalıplarını, kötü amaçlı URL’leri ve altyapı özelliklerini hedefler, varyantları önlemek için filo çapında konuşlandırılır.
Bu tür operasyonlar, Phinghing’in hizmet olarak altyapı modellerine doğru kaymasının altını çiziyor, burada saldırganlar etki alanlarını çalkaladı, etkileyicinin taklitinden yararlanıyor ve kum havuzlarından kaçınma gecikmeleri getiriyor.
Savunucular için bu, tek başına kimlik doğrulama silahlı güvene karşı yetersiz olduğunu kanıtladığı için, bu bulut postaları, TLS artefaktları ve OSINT temel blokların ötesine geçmesini talep eder.
Uzlaşma Göstergeleri (IOCS)
| Tip | Değer |
|---|---|
| İhtisas | Charliechaplin7eont[.]uzay |
| İhtisas | *.[.]com |
| İhtisas | USER0212 çizgisi[.]com |
| IP adresi | 38.114.120[.]167 |
| Asn | 63023 (AS-Globaltelehost) |
| TLS CERT CN | bot2shimeta.charliechaplin7eont.space |
| Jarm parmak izi | 27D40D40D00040D00042D43D000000D2E61CAE37A985F75ECAFB81B33CA523 |
| Posta gönderen | mesajlaş[email protected][.]com |
| Cevap vermek | [email protected][.]com |
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.