İki farklı kimlik avı kitini birleştiren yeni bir kimlik avı saldırısı türü: Salty2FA ve Tycoon2FA. Bu, Hizmet Olarak Kimlik Avı (PhaaS) ortamında önemli bir değişikliğe işaret ediyor.
Kimlik avı kitleri genellikle kodlarında ve dağıtım mekanizmalarında benzersiz imzalar bulundururken, kurumsal kullanıcıları hedef alan son kampanyalar, her iki çerçevedeki öğeleri birleştiren veriler dağıtmaya başladı.
Bu yakınlaşma, ilişkilendirme çabalarını karmaşık hale getiriyor ve bu gelişmiş araçların arkasındaki tehdit aktörleri arasında potansiyel bir operasyonel birleşme veya işbirliği olduğunu gösteriyor.
Salty2FA’nın Çöküşü
Bir araştırmaya göre bu keşif, 2025’in sonlarında gözlemlenen bağımsız Salty2FA aktivitesinde dramatik bir düşüşün ardından geldi. ANY.RUN tarafından yapılan analizSalty2FA örneklerinin etkileşimli sanal alanlarına gönderimleri, yüzlerce haftalık yüklemeden Kasım ayı başlarında hızla 50’nin altına düştü.
Bu düşüşle aynı zamana denk gelen analistler, Salty2FA’nın altyapısının başarısız olduğu ve bunun yerine Tycoon2FA veri yüklerini alan bir geri dönüş mekanizmasını tetiklediği bir “hibrit” örnek dalgası tespit etti.
Kod düzeyinde analiz ANY.RUN ortaya çıktı Bu hibrit veri yükleri, saldırının bir sonraki aşamasını yükleyen Salty2FA’nın geleneksel “trambolin” komut dosyalarıyla başlıyor.
Bununla birlikte, birincil Salty2FA etki alanları çözülemediğinde (DNS SERVFAIL hataları döndürdüğünde), komut dosyaları sabit kodlu bir geri dönüş komutu çalıştırarak Tycoon2FA altyapısından kötü amaçlı içerik getirdi.
Bu kesintisiz geçiş, operatörlerin altyapı istikrarsızlığını öngördüğünü ve rakip veya iş ortağı kitini kullanarak bir yedeklilik tasarladığını gösteriyor.
Taktikler, teknikler ve prosedürlerdeki (TTP’ler) örtüşme, her iki kitin de Microsoft tarafından Storm-1747 olarak takip edilen aynı tehdit grubu tarafından çalıştırılabileceği hipotezini güçlendiriyor.
Storm-1747, ortadaki rakip (AiTM) teknikleri aracılığıyla çok faktörlü kimlik doğrulamayı (MFA) atladığı bilinen bir kit olan Tycoon2FA ile uzun süredir ilişkilendirilmektedir.
Yeni gözlemlenen hibrit örnekler çoğalıyor Tycoon2FA’nın yürütme zinciri belirli değişken adlandırma kuralları ve veri şifreleme yöntemleri de dahil olmak üzere sonraki aşamalarında neredeyse satır satır.
Bu yapısal benzerlik, Salty2FA’nın bağımsız bir rakip olmayabileceğini, daha ziyade Storm-1747’nin cephaneliğindeki başka bir araç olabileceğini ve potansiyel olarak farklı hedefleme profilleri için veya yeni kaçınma özellikleri için bir test alanı olarak kullanılabileceğini gösteriyor.
Güvenlik operasyon merkezleri (SOC’ler) için Salty2FA ve Tycoon2FA arasındaki çizgilerin bulanıklaşması, güncellenmiş bir savunma stratejisi gerektirir. Bir kampanya, yürütmenin ortasında bir çerçeveden diğerine geçebileceğinden, tek bir kit için statik risk göstergelerine (IOC’ler) güvenmek artık yeterli değildir.
Uzmanlar bu kitlerin tek bir tehdit kümesi olarak ele alınmasını öneriyor. Savunmacılar, HTML trambolin dosyaları gibi Salty2FA’nın ilk dağıtım vektörlerini içeren uyarıları, DGA tarafından oluşturulan alanlara ve hızlı akış altyapısına yönelik trafik dahil olmak üzere Tycoon2FA’nın bilinen ağ davranışlarıyla ilişkilendirmelidir.
Her iki aile için algılama mantığını birleştirerek kuruluşlar, kimlik bilgileri çalınmadan önce bu dayanıklı, çok aşamalı saldırıları daha iyi tespit edebilir.
SOC’nizdeki ANY.RUN’un Sandbox’ı ile kimlik avı tehditlerini 60 saniyeden kısa sürede tespit edin => Şimdi kaydolun
