Güney Asya’daki casuslukla ilişkili devlet destekli bir tehdit oyuncusu olan APT Sidewinder, yakın zamanda meşru görünüm ve Zimbra webmail hizmetlerini taklit eden kimlik avı portallarını konuşlandıran bir kampanya başlattı.
2015 ortalarında ortaya çıkan bu operasyon, Pakistan, Nepal, Sri Lanka, Bangladeş ve Myanmar’daki hükümet ve askeri hedeflere göre uyarlanmış sahte oturum açma sayfaları sunmak için NetLify, Pages.dev ve Workers.dev gibi ücretsiz barındırma platformları kullanıyor.
Denizcilik ve savunma temalı cazibe belgelerini kullanarak Sidewinder, yalnızca doğrudan posta istekleri aracılığıyla kullanıcı kimlik bilgilerini hasat etmekle kalmaz, aynı zamanda daha sonraki alma için açık dizinlerde kötü amaçlı yazılımları da aşamalıdır.
Ağustos 2025’ten başlayarak, Hunt.io Telemetry, hızlı alan karmaşası gözlemledi – yeni bir kimlik avı siteleri her üç ila beş günde bir ortaya çıktı – yüksek operasyonel bir tempoya girdi.
Birçok sayfa, Bangladeş’teki Savunma Genel Müdürlüğü’nü (DGDP) taklit etti ve kurbanları Türk savunma ekipmanı ayrıntılarına erişme kisvesi altında e -posta kimlik bilgileri için kurbanlara yönlendiren “güvenli dosya” portalları sundu.
Eşzamanlı olarak, Nepal’in Finans Finansının Finans Bakanlığı, Davet Davetiyesi Davetiyesi Davetiyesi Davetiye Davetiyeleri, Kayıplı Kayıplı Onlok’u (98.84.111) Sahtekar Outlook Girişine Dönüştürecek.
.webp)
Hunt.io analistleri, kötü amaçlı yazılımların sosyal mühendisliği basit, etkili kimlik bilgisi koleksiyonuyla harmanlama yeteneğini kaydetti.
SUPARCO hedefli bir sitede, JavaScript mantığı, ikincil bir kimlik avı sayfasına yönlendirmeden önce kurbanın e-postasını Base64’teki e-postasını kodlar, ardından taze girişleri yakalamak için bir yeniden yükleme istemini aşar.
Bu aşamalı yeniden yönlendirme ve gizleme her iki izleme oturumlarını izler ve gündelik denetimi engeller.
.webp)
Bu sahte portalları destekleyen enfeksiyon mekanizması, istemci tarafı kötü amaçlı yazılım yükleri yerine saldırgan kontrollü sunuculara doğrudan form gönderimlerine dayanmaktadır.
Suparco kimlik avı kitinde gözlenen tipik bir HTML formu, yakalanan kimlik bilgilerini uç noktaya kadar https://technologysupport.help/1pac.php:-
The hidden inbox Alan, çalıntı kimlik bilgilerini belirli kampanyalarla ilişkilendirmek için Base64 kodlu bir adres taşır.
Hasat edildikten sonra, bu kimlik bilgileri daha geniş bir casusluk iş akışlarına beslenir, kısıtlı ağlara yan açma erişim sağlar veya 47.236.177.123 ve 31.14.142.50 gibi IP’lerde açık dizinlerden takip yazılımları dağıtımını kolaylaştırır.
Yaygın olarak kullanılan, güvenilir platformlarda portalları barındırarak, Sidewinder basit alan tabanlı bloklardan kaçar ve URL’ler kaldırıldıktan sonra hızlı yeniden dağıtımdan yararlanır.
Karşı önlemler, ücretsiz barındırma alanlarının sürekli izlenmesini, Form Post isteklerinin bilinmeyen sunuculara gelişmiş filtrelenmesini ve giriş istemlerine bağlı belge tabanlı cazibeleri tanımak için kullanıcı eğitimini içermelidir. 开心 Ağ segmentasyonu ve zorunlu çok faktörlü kimlik doğrulama ile kuruluşlar, kimlik avı denemeleri başarılı olsa bile kimlik temelli müdahaleleri sınırlayabilir.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
