Siber güvenlik firması Volexity’nin yeni araştırmasına göre Rus devlet bağlantılı bilgisayar korsanları, hükümetler, düşünce kuruluşları ve politika kuruluşlarındaki bulut e-posta ve işbirliği hesaplarını tehlikeye atmak için yüksek profilli Avrupa güvenlik konferanslarını taklit ediyor.
2025’in sonlarına kadar aktif olacak kampanyalar, meşru Microsoft ve Google kimlik doğrulama iş akışlarını kötüye kullanıyor ve kurbanları hesaplarına erişimi etkili bir şekilde devretmeleri için kandırmak için özenli sosyal mühendisliğe dayanıyor.
Volexity, etkinliği daha önce Microsoft 365 OAuth ve Cihaz Kodu kimlik doğrulama akışlarını kötüye kullanan saldırılarla bağlantılı olan Rus tehdit aktörü UTA0355’e bağlıyor.
Son operasyonlar, bu yöntemlerin 2025’in başlarında kamuoyuna açıklanmasına rağmen, grubun temel teknik yaklaşımı yerine yemleri ve teslimat taktiklerini geliştirmeye devam ettiğini gösteriyor.
UTA0355, iki büyük kampanyada Avrupa’daki gerçek uluslararası güvenlik olayları etrafında ikna edici kimlik avı altyapısı oluşturdu.
Operasyonlardan biri, 17-19 Kasım 2025’te yapılması planlanan Belgrad Güvenlik Konferansı’nı taklit ederken, bir diğeri Aralık 2025’in başlarında Brüksel’de düzenlenen bir Hint-Pasifik politika forumu olan Brüksel Hint-Pasifik Diyaloğu’nu (BIPD) taklit etti.
Mağdurları Aldatmak İçin Avrupa Olaylarını Sahtekarlık Yapmak
Her iki durumda da saldırganlar, orijinal olay süreçlerini taklit edecek şekilde tasarlanmış profesyonel görünümlü web siteleri ve kayıt akışları oluşturdu, ardından bu siteleri Microsoft 365 kimlik avı iş akışlarında başlatma paneli olarak kullandı.
Volexity, Belgrad Güvenlik Konferansı için, anormal bir oturum açma işleminin tespit edilmesinin ardından bir kullanıcının Microsoft 365 hesabının ele geçirildiği Ekim 2025’teki bir olayı araştırdı.
Kurban, konferansla ilgili mevcut bir e-posta dizisinde, ilişki kuran bir kimlik avı kampanyası aracılığıyla saldırıya uğramıştı.
Kurban kimliği doğrulandıktan sonra saldırgan, kayıtlarını “sonlandırma” bahanesi altında onlara WhatsApp üzerinden tam tarayıcı URL’sini geri göndermeleri talimatını verdi. Bu URL, saldırıyı tamamlamak için gereken OAuth yetkilendirme kodunu içeriyordu.
Davetsiz misafir, erişim elde ettikten sonra Microsoft Entra ID’de kurbanın meşru cihazlarından biriyle aynı adı kullanan yeni bir cihazı kaydetti ve iPhone kılığına giren bir Android cihaz gibi görünen bir cihazdan dosyalara erişti.
Volexity daha sonra aynı aktörün, saldırgan tarafından kontrol edilen bir Gmail hesabından gönderilen e-postalar yoluyla hedef kitlesini genişlettiğini ve alıcıları bsc2025’teki sahte bir konferans sitesine yönlendirdiğini gözlemledi.[.]org.
Öneriler
Hedefin e-posta etki alanına bağlı olarak ziyaretçilere ya genel bir kayıt onayı gösterildi ya da sessizce kimlik bilgilerini toplamak için tasarlanmış bir Microsoft 365 oturum açma sırasına yönlendirildi.
Saldırgan önce yazışmaları sürdürdü, ardından Microsoft OAuth URL’si aracılığıyla konferans kaynaklarına kaydolmak için bir davetiye gönderdi.
Paralel bir kampanya Brüksel Hint-Pasifik Diyaloğu’nu taklit etti. Vrije Universiteit Brussel’deki Güvenlik, Diplomasi ve Strateji Merkezi personeli tarafından gönderildiği iddia edilen e-postalar, dış politika, Avrupa ilişkileri veya daha önce ABD hükümetinde üst düzey görevlerde çalışan kişileri hedef alıyordu.
Saldırgan, güven oluşturmak için birkaç e-posta gönderdikten sonra benzersiz bir URL gönderdi ve kurbanlara, başka bir OAuth kodu kimlik avı modelinde hatalarla karşılaştıklarında tam URL’yi geri göndermeleri talimatını verdi.
Altyapı, ustrs gibi yeniden tasarlanmış alanları içeriyordu[.]com ve özel bir benzer site, brussels-indo-pacific-forum[.]org, sonuçta hedefleri konferans kayıt sistemi olarak gizlenen bir Microsoft 365 Cihaz Kodu kimlik avı iş akışına sürükledi.
Volexity’nin analizi, UTA0355’in diğer önemli olaylar için de altyapı denemeleri yaptığını gösteriyor.
Volexity, UTA0355’in gerçekçi olay temalı yemlere, e-posta ve mesajlaşma uygulamaları yoluyla çok kanallı iletişime ve güvenilir bulut kimlik doğrulama akışlarının kötüye kullanılmasına sürekli yatırım yapmasının, hem oyuncunun kaynaklarının hem de bu tekniklerin yüksek değerli hedeflere karşı devam eden etkinliğinin altını çizdiği sonucuna varıyor.
WHOIS kayıtları bsc2025’e bağlandı[.]org, araştırmacıları, 4-6 Kasım 2025’te yapılması planlanan Paris’teki Dünya Nükleer Sergisi’ni taklit eden, dünya nükleer sergisi-paris de dahil olmak üzere ek alanlara yönlendirdi.[.]com ve wne-2025[.]com.
Operasyonel kullanımları doğrulanmamış olsa da araştırmacılar, bunların muhtemelen ilgili veya daha önceki kampanyalara hazırlıklı olduklarını değerlendiriyor.
Bu operasyonlar boyunca UTA0355, etkin bir şekilde seçilmiş bir kurban listesi için kitle kaynak kullanarak, katılmayan davetlilerden ilgilenebilecek meslektaşlarının iletişim bilgilerini paylaşmalarını isteyerek hedef havuzunu sistematik olarak genişletiyor.
Güvenliği ihlal edilmiş hesaplara erişim daha sonra proxy ağları üzerinden yönlendirilir ve bu da atıf ve konumun daha da belirsizleşmesine neden olur.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.