Rus tehdit aktörleri, bulut kimlik bilgilerini sessizce çalmak için Avrupa’daki önemli güvenlik olaylarını taklit eden yeni bir kimlik avı kampanyaları dalgası yürütüyor.
Genellikle Belgrad Güvenlik Konferansı veya Brüksel Hint-Pasifik Diyaloğu gibi konferanslarla bağlantılı meşru görünen davetler, hedefleri gerçek organizatörleri taklit eden gösterişli kayıt sitelerine yönlendiriyor.
Saldırganlar, bu profesyonel yüzeyin ardında, kullanıcıları e-postalara ve dosyalara uzun vadeli erişim sağlamak üzere tasarlanmış kötü amaçlı Microsoft 365 ve Google hesap akışlarına yönlendiriyor.
Volexity güvenlik analistleri, kampanyaların, 2025’te OAuth ve Cihaz Kodu kötüye kullanımını istikrarlı bir şekilde geliştiren UTA0355 olarak takip edilen Rus grubuyla bağlantılı olduğunu belirledi.
Grup ilk başta açıkça kötü niyetli bağlantılar göndermiyor. Bunun yerine, e-posta ve WhatsApp veya Signal sohbetleri üzerinden güven oluşturuyor ve ardından kurbanları, rutin tek oturum açmaya benzeyen bir “kayıt” akışına kaydırıyor.
.webp)
Çoğu durumda, gönderen hesaplar ve mesajlaşma kimlikleri bile gerçek politika veya akademik ağlardan gelen, tehlikeye atılmış kimliklerdir.
Bir hedef tıkladığında bsc2025 gibi sahte konferans siteleri[.]org veya brüksel-hint-pasifik-forumu[.]org’da “kurumsal e-posta” isteyin ve ardından orijinal görünen Microsoft oturum açma sayfalarına teslim edin.
İşin püf noktası, OAuth belirteçlerinin ve cihaz kodlarının tarayıcı URL’sinden yakalanıp saldırganlar tarafından yeniden kullanılmasıdır.
Bazı durumlarda, kullanıcılardan “kaydı sonlandırma” bahanesiyle tam URL’yi tekrar sohbete yapıştırmaları istenir.
Başarılı bir kimlik avının ardından izinsiz girişin teknik davranışı sessiz fakat sistemlidir. UTA0355 sıklıkla yeni bir cihazı Microsoft Entra ID’ye kaydeder ve kurbanın gerçek cihaz adını varlık envanterlerine dahil etmek için yeniden kullanır.
Kimlik Avı Operasyonları
Erişim, bazen kurbanın gerçek donanımıyla eşleşmeyen Android kullanıcı aracısı dizeleriyle proxy düğümlerinden gelir; bu da günlüklerin dikkatli bir şekilde incelenmesini zorunlu hale getirir.
.webp)
Basit bir algılama kuralı, birçok SIEM platformunda bu uyumsuzluğu işaretleyebilir: –
SigninLogs
| where DeviceDetailOperatingSystem startswith "Android"
| where DeviceDetailDisplayName has "iPhone"Aynı kavram Python tabanlı günlük önceliklendirmesine de çevrilebilir: –
if "Android" in ua and "iPhone" in device_name:
flag_suspicious(session_id)Eksiksiz bir teknik analiz, buradaki gerçek “kötü amaçlı yazılımın” geleneksel bir ikili dosya değil, silahlı bir OAuth ve Cihaz Kodu iş akışı olduğunu gösteriyor.
Yük, kullanıcıların teslim ettiği izin ve belirteçlerdir; saldırganlara posta kutularına, dosyalara ve kimlik verilerine API düzeyinde erişim sağlarken uç nokta araçlarına büyük ölçüde görünmez kalır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
