Siber güvenlik araştırmacıları, Avrupa, Afrika, Kanada, Orta Doğu ve Güney Asya’daki bankalarda, enerji şirketlerinde, sigortacılarda ve yatırım firmalarında finansal memurları (CFO’lar) ve finansal yöneticileri hedeflemek için Netbird adlı meşru bir uzaktan erişim aracı kullanan yeni bir mızrak aktı kampanyası konusunda uyardı.
Trellix araştırmacısı Srini Seethapathy bir analizde, “Çok aşamalı bir kimlik avı operasyonu gibi görünen saldırganlar, kurbanın bilgisayarında meşru tel tabanlı bir uzaktan erişim aracı olan Netbird’i dağıtmayı amaçladı.” Dedi.
İlk olarak 2025 Mayıs ortalarında siber güvenlik şirketi tarafından tespit edilen etkinlik, bilinen bir tehdit oyuncusu veya gruba atfedilmemiştir.
Saldırının başlangıç noktası, Rothschild & Co.’dan bir işvereni taklit eden ve şirketle “stratejik bir fırsat” sunduğunu iddia eden bir kimlik avı e -postasıdır. E-posta, alıcıları gerçekte, onları Firebase uygulamasıyla evlenen bir URL’ye yönlendiren bir kimlik avı bağlantısı olan iddia edilen bir PDF eki açmaya ikna etmek için tasarlanmıştır.
Enfeksiyonla ilgili dikkat çekici olan şey, gerçek yönlendirme URL’sinin sayfada şifreli formda saklanması ve ancak mağdur bir Captcha doğrulama kontrolünü çözdükten sonra erişilebilir olması ve sonuçta bir fermuarlı arşivinin indirilmesine yol açmasıdır.
“Bulmacayı çözmek bir [JavaScript] Sabit kodlanmış bir anahtarla şifresini çözen ve kullanıcıyı şifre çözülmüş bağlantıya yönlendiren işlev, “Seethapathy.” Saldırganlar, Cloudflare Turnstile veya Google Recaptcha tarafından korunan kimlik avı sitelerini işaretleyen geçmiş savunmaları kaydırmayı umarak bu özel captcha kapılarına gittikçe daha fazla eğiliyor. “
Arşiv içinde, bir sonraki aşamalı VBScript’i harici bir sunucudan almaktan ve “wscript.exe” aracılığıyla başlatmaktan sorumlu olan Visual Basic betiği (VBScript) bulunur. Bu ikinci aşamalı VBScript indiricisi daha sonra aynı sunucudan başka bir yük getirir, “trm.zip” olarak yeniden adlandırır ve iki MSI dosyasını ondan çıkarır: NetBird ve OpenSsh.
Son aşama, enfekte olmuş ana bilgisayara iki programın kurulmasını, gizli bir yerel hesap oluşturmayı, uzak masaüstü erişimini etkinleştirmeyi ve Netbird’ün sistem yeniden başlatmasında otomatik olarak başlatılacak şekilde planlanan görevler aracılığıyla devam etmesini içerir. Kötü amaçlı yazılım ayrıca, uzlaşmanın kurban tarafından algılanmamasını sağlamak için herhangi bir Netbird masaüstü kısayollarını kaldırır.
Trellix, yaklaşık bir yıldır etkin olan ve aynı VBScript yükünü sunan başka bir yönlendirme URL’sini belirlediğini ve kampanyanın bir süredir var olabileceğini gösterdiğini söyledi.
Bulgular bir kez daha rakiplerin, aynı zamanda tespiti geliştirirken, kalıcılık oluşturmak ve kurbanın ağına gömmek için Connectwise Screenconnect, Atera, Splashtop, Fleetdeck ve Logmein gibi meşru uzaktan erişim uygulamalarına nasıl giderek daha fazla güvendiklerini göstermektedir.
“Bu saldırı tipik kimlik avı dolandırıcılığınız değil,” dedi Seethapathy. “İyi hazırlanmış, hedeflenmiş, ince ve teknolojiyi ve insanları geçecek şekilde tasarlanmıştır. Rakiplerin kurban sistemine kalıcı erişim yaratmak ve sürdürmek için sosyal mühendislik ve savunma kaçırma tekniklerini kullandığı çok aşamalı bir saldırıdır.”
Açıklama, vahşi doğada çeşitli e -posta tabanlı sosyal mühendislik kampanyalarının keşfine denk geliyor –
- Tanınmış bir Japon İnternet Servis Sağlayıcısı (ISS) ile ilişkili güvenilir bir alanı kötüye kullanan saldırılar, e-posta adresinden kimlik avı mesajı göndermek için “@nifty@nifty[.]com “E -posta kimlik doğrulama kontrollerini ve hasat kimlik bilgilerini geçmeye çalışırken
- Google Apps Script geliştirme platformunu, meşru görünen ve fatura temalı e-posta cazibesini kullanarak Microsoft giriş kimlik bilgilerini çalan kimlik avı sayfalarını barındıran saldırılar
- Kredi kartı detayları ve Yahoo Posta Hesap Detayları da dahil olmak üzere hassas kullanıcı verilerini çalmak için bir Apple Pay faturasını taklit eden saldırılar
- Makineleri, paylaşılan bir belgeyi görüntüleme ve bir telgraf botu aracılığıyla kimlik bilgilerini birleştirme kisvesi altında kurbanları sahte bir Microsoft giriş sayfasına götüren bağlantılara tıklamaya çalıştıran kimlik avı sayfalarını barındırmak için çalışma alanlarını kötüye kullanan saldırılar.
- Microsoft Office’te (CVE-2017-11882) bir yıllık güvenlik kusurunu kullanan saldırılar, sahte bir PNG dosyasında gizlenmiş formbook kötü amaçlı yazılım varyantını sunmak ve tehlikeye atılan ana bilgisayarlardan hassas verileri çalmak
Phas hizmetleri çıtayı laine
Bulgular ayrıca Trustwave, Tycoon ve Dadsec (diğer adıyla Phoenix) phishing kitleri arasındaki operasyonel bağlantıları detaylandırarak, altyapı örtüşmelerini ve merkezi bir kimlik avı altyapısının kullanımını vurguluyor. DADSEC, Microsoft tarafından takma takmaca Storm-1575 altında izlenen bir tehdit aktörünün çalışmasıdır.
Trustwave araştırmacıları Cris Tomboc ve King Orande, “Dadsec tarafından kullanılan altyapı, ‘Tycoon 2FA’ Hizmet Olarak Kimlik Avı (PHAAS) platformundan yararlanan yeni bir kampanyaya da bağlı.” Dedi. Diyerek şöyle devam etti: “Tycoon2FA kimlik avı kitine ilişkin soruşturma, rakiplerin Hizmet Olarak Kimlik Yardımı (PHAAS) ekosistemindeki taktiklerini nasıl geliştirmeye ve genişletmeye devam ettiklerini ortaya koyuyor.”
 |
| Tycoon 2FA PHAS Operasyonu |
PHAAS hizmetlerinin artan popülaritesi, son beş ay içinde üçüncü taraf hizmetlerine reklam satarak 280.000 $ ‘dan fazla suç işlemesini kolaylaştırdığı tahmin edilen yeni bir “tak ve oynatma” Çince kitinin ortaya çıkmasıyla kanıtlanmıştır. Yılda 2.000 $ karşılığında abonelik temelinde faaliyet göstermektedir.
Netcraft, “Saldırganların komut dosyalarını veya altyapıyı manuel olarak yapılandırmasını gerektiren eski kimlik avı kitlerinin aksine, Haozi şık, kamuya bakan bir web paneli sunuyor.” Dedi. “Bir saldırgan bir sunucu satın aldığında ve kimlik bilgilerini panele koyduğunda, kimlik avı yazılımı otomatik olarak ayarlanır ve tek bir komut çalıştırmaya gerek yoktur.”
“Bu sürtünmesiz kurulum, minimum komut satırı kullanımının hala gerekli olduğu AI özellikli Darcula Suite gibi diğer Phaas araçlarıyla tezat oluşturuyor.”
Kullanıcıların tüm kampanyalarını tek bir yerde yönetebilecekleri bir yönetici panelini desteklemenin yanı sıra, Haozi’nin reklam alanı sunduğu bulunmuştur ve kimlik avı kiti alıcılarını SMS satıcılarıyla ilgili olanlar gibi üçüncü taraf hizmetlere bağlamak için bir aracı görevi görür.
 |
| Haozi kimlik avı kontrol paneli |
Haozi’yi diğer kitlerden ayıran bir diğer husus, müşterilere hata ayıklama sorunları konusunda yardımcı olmak ve kampanyalarını optimize etmek, teknik uzmanlığı olmayan sibercriminals için çekici bir seçenek olarak konumlandırmak için özel bir satış sonrası Telegram kanalı (@yuanbaoaichiyu).
Netcraft araştırmacısı Harry Everett, “Kurumsal güvenlik ekipleri müdahale girişimlerini tespit etmek ve ele almada daha etkili hale geldikçe, saldırganlar sosyal mühendislik ve kimlik avı dolandırıcılığı, sertleştirilmiş bir çevreyi ihlal etmeyi gerektirmeyen taktikler kullanıyor.” Dedi.
“PHAAS teklifleri, otomasyon ve topluluk desteği yoluyla beceri zemini ve ölçek kampanyalarını düşürüyor. Bu yeni modeller, abonelik fiyatlandırması, müşteri hizmetleri ve ürün güncellemeleri ile tamamlanan siyah pazar hack gruplarından daha çok SaaS işletmeleri gibi çalışıyor.”
Microsoft, geçen hafta yayınlanan bir danışmanlıkta, PHAAS platformlarının, çok faktörlü kimlik doğrulama (MFA) artışlarının benimsenmesi olarak ortadaki düşman (AITM) kimlik bilgisi avını nasıl artırdığını ortaya koydu.
Diğer tekniklerden bazıları cihaz kodu kimlik avı; OAuth Onay Kimlik avı; Tehdit aktörlerinin Açık Yetkilendirme (OAuth) protokolünü kullandığı ve üçüncü taraf bir başvuru için kötü amaçlı rıza bağlantısı olan e-postalar gönderildiği; Cihaz, tehdit aktörlerinin, aktör kontrollü bir cihazın alan adına birleşmesini yetkilendirmek için hedefleri kandırmak için bir kimlik avı bağlantısı kullandığı kimlik avına katılır.
Windows Maker, üçüncü taraf başvuru mesajları kullanan şüpheli Rus bağlantılı tehdit aktörlerini veya geçerli bir yetkilendirme kodu içeren kötü amaçlı bir bağlantı sunmak için yaklaşan toplantı davetlerine atıfta bulunan e-postaları gözlemlediğini söyledi. Teknik ilk olarak Volexity tarafından Nisan 2025’te belgelendi.
Kurumsal başkan yardımcısı ve kimlik kimlik yardımcısı Igor Sakhnov, “Hem son kullanıcılar hem de otomatik güvenlik önlemleri kötü amaçlı kimlik avı ataşmanlarını ve bağlantılarını belirlemede daha yetenekli hale gelse de, motive olmuş tehdit aktörleri insan davranışını ikna edici yemlerle sömürmeye devam ediyor.” Dedi.
“Bu saldırılar kullanıcıları aldatmaya yönelik olarak, kullanıcı eğitimi ve yaygın olarak tanımlanan sosyal mühendislik tekniklerinin farkındalığı, onlara karşı savunmanın anahtarıdır.”