Kötü şöhretli ShinyHunters bilgisayar korsanlığı topluluğuna atfedilen yeni ve farklı bir sesli kimlik avı (vishing) saldırıları dalgası hızla yayılıyor ve savunucuların şu ana kadar en az üç büyük kuruluşu etkileyen ihlallerin ardından tetikte olmaları isteniyor.
Kampanya, Google, Microsoft ve Okta ortamlarını hedef alan özel istek kitleri içeriyor gibi görünüyor – Okta’nın geçen hafta kendisinin de uyardığı gibi – ve iş zekası uzmanı Crunchbase, müzik akışı platformu SoundCloud ve finansal planlama ve yatırım şirketi Betterment’i çoktan tuzağa düşürmüş olabilir.
Google Cloud Mandiant’ın baş teknoloji sorumlusu Charles Carmakal, kampanya geliştikçe takip edenler arasında yer alıyor.
Computer Weekly’e e-posta yoluyla şunları söyledi: “Mandiant, kurban kuruluşların SSO kimlik bilgilerini başarılı bir şekilde ele geçirmek ve tehdit aktörü tarafından kontrol edilen cihazları kurban MFA çözümlerine kaydetmek için geliştirilmiş istek tekniklerini kullanan yeni, devam eden ShinyHunters markalı bir kampanyayı izliyor.”
“Bu aktif ve devam eden bir kampanya. İlk erişimi sağladıktan sonra, bu aktörler hassas verileri sızdırmak için SaaS ortamlarına yöneliyor. ShinyHunters olarak tanımlanan bir aktör, mağdur kuruluşların bazılarına şantaj talebiyle yaklaştı.
Carmakal, “Bu, satıcıların ürünlerindeki veya altyapısındaki bir güvenlik açığının sonucu olmasa da, mümkün olduğunda FIDO2 güvenlik anahtarları veya geçiş anahtarları gibi kimlik avına karşı dayanıklı MFA’ya yönelmenizi şiddetle tavsiye ediyoruz” dedi.
“Bu korumalar, sosyal mühendislik saldırılarına karşı, push tabanlı veya SMS kimlik doğrulamasının dirençli olmadığı şekillerde dirençlidir. Yöneticiler ayrıca katı uygulama yetkilendirme politikaları uygulamalı ve anormal API etkinliği veya yetkisiz cihaz kayıtları için günlükleri izlemelidir.”
Sophos’un Karşı Tehdit Birimi’ndeki (CTU) araştırmacılar kardeş unvanımızı anlattı Siber Güvenlik Dalışı Kampanyada kullanılan yaklaşık 150 hacker kontrollü alanı takip ettiklerini ve bunların çoğunun Aralık 2025’te oluşturulduğunu söyledi.
CTU tehdit istihbaratı direktörü Rafe Pilling, bu alanların tamamının kullanılıp kullanılmadığını teyit edemediğini söyledi ancak saldırganların bunları, genellikle Okta dahil olmak üzere kimlik doğrulama sağlayıcılarının kimliğine bürünerek, hedefe özel kimlik avı web siteleri oluşturmak için kullandıklarını belirtti.
Mağdurlar konuşuyor
Crunchbase, bilgisayar korsanlarının kurbanından şantaj yapamadıktan sonra 402 MB’lık sıkıştırılmış arşivi çaldığını ve sızdırdığını zaten doğruladı, ancak günlük operasyonlar etkilenmedi ve bunun dışında ihlali tamamen kontrol altına aldı. Soruşturması için ABD yetkilileriyle birlikte çalışıyor ve herhangi bir kullanıcıyı yasal olarak bilgilendirmesi gerekip gerekmediğini belirlemek için sızdırılan verileri inceliyor.
Ayrı olarak SoundCloud ve Betterment de veri ihlallerini açıkladı. Aralık 2025’te ihlal edilen SoundCloud, izinsiz girişin yan hizmet kontrol panelindeki yetkisiz faaliyet şeklini aldığını söyledi ancak bildiriminde sosyal mühendislik veya vishing kaynağı olarak belirtilmedi. Güvenliği ihlal edilen verilerin, SoundCloud kullanıcı profillerinin yaklaşık %20’sinde yayınlanan e-posta adresleri ve kamuya açık bilgiler şeklinde olduğu belirtildi.
Bu arada Betterment, 9 Ocak’ta pazarlama ve operasyon ekiplerine karşı “yetkisiz bir kişinin sosyal mühendislik yoluyla belirli Betterment sistemlerine erişim sağlaması” sonucunda bir ihlal tespit ettiğini söyledi. Saldırganlar erişimlerini bazı müşterilere kripto para birimiyle ilgili sahte bir mesaj göndermek için kullandı ve bu müşterilere bilgi verildi.
Uyarlanabilir istek
Okta’nın tavsiyesinde tedarikçi, tehdit aktörlerinin sosyal mühendislik personelinin özel ihtiyaçlarını karşılamak için özel vishing kitlerini hızla yenilediği konusunda uyardı.
Muhtemelen aynı kökenden evrimleşmiş olan bu tür kitler, hizmet olarak ‘satılmaktadır’ ve yalnızca farkında olmadan kurbanın kimlik bilgilerine müdahale etmek için değil, aynı zamanda kullanıcılarına, hedeflerinin çok faktörlü kimlik doğrulama (MFA) zorluklarını onaylaması veya gerektiğinde başka eylemler gerçekleştirmesi için ihtiyaç duydukları destekleyici, anında bağlamı sağlamak üzere tasarlanmıştır.
Örneğin Okta, bunların kullanıcının web tarayıcısında arayanın komut dosyasıyla senkronize edilecek hangi sayfaların sunulacağını kontrol edecek şekilde uyarlanabileceğini söyledi.
Okta Tehdit İstihbaratı tehdit araştırmacısı Moussa Diallo, “Bu araçlardan birinin sürücü koltuğuna oturduğunuzda, neden daha yüksek düzeyde ses tabanlı sosyal mühendislik gözlemlediğimizi hemen anlayabilirsiniz” dedi.
“Bu kitleri kullanarak, hedeflenen kullanıcıya telefon eden bir saldırgan, kullanıcı kimlik bilgisi avı sayfalarıyla etkileşime girerken kimlik doğrulama akışını kontrol edebilir. Arama sırasında verdikleri talimatlarla mükemmel bir senkronizasyon içinde hedefin tarayıcısında hangi sayfaları göreceğini kontrol edebilir.
Diallo, “Tehdit aktörü bu senkronizasyonu, kimlik avına karşı dayanıklı olmayan her türlü MFA’yı yenmek için kullanabilir” dedi.