Microsoft Tehdit İstihbaratı, Aralık 2024’te başlayan ve çevrimiçi seyahat acentesi Booking.com’u taklit ederek misafirperverlik endüstrisindeki organizasyonları hedefleyen devam eden bir kimlik avı kampanyası belirledi.
Storm-1865 olarak izlenen kampanya, finansal sahtekarlık ve hırsızlık yapmak için tasarlanmış kimlik bilgilerini çalma kötü amaçlı yazılımları sunmak için ClickFix adlı sofistike bir sosyal mühendislik tekniği kullanıyor.
Bu saldırı özellikle Kuzey Amerika, Okyanusya, Güney ve Güneydoğu Asya’daki konukseverlik organizasyonlarını ve doğrudan Booking.com ile çalışması muhtemel bireylere odaklanan çeşitli Avrupa bölgelerini hedefliyor.
Şubat 2025 itibariyle kampanya aktif olmaya devam ediyor ve geleneksel güvenlik önlemlerini atlamak için taktiklerini geliştirmeye devam ediyor.
Aldatıcı taktikler, hileli iletişim yoluyla misafirperverlik personelini hedefleyin
Storm-1865 tehdit aktörleri, düzenli görevlerinin bir parçası olarak Booking.com ile etkileşime girmesi muhtemel bu işletmelerdeki potansiyel hedefleri belirleyerek misafirperverlik organizasyonlarına sızmak için metodik bir yaklaşım geliştirmiştir.
Saldırganlar daha sonra seyahat platformunu taklit eden kötü niyetli e -postalar oluştururlar ve mesaj içeriği, katılım şansını artırmak için büyük ölçüde değişir.
Bu hileli iletişim, olumsuz konuk incelemeleri, muhtemel konuklardan gelen talepler, çevrimiçi tanıtım fırsatları ve hesap doğrulama bildirimleri de dahil olmak üzere misafirperverlik personelini ilgilendirecek senaryolar referans.
Her e -posta, bir kötü amaçlı bağlantı veya yerleşik bir bağlantıya sahip bir PDF eki içerir ve alıcıları meşru Booking.com web sitesine yönlendirir.
Kullanıcılar bu bağlantıları tıkladıklarında, otantik Booking.com arayüzünü taklit etmek için tasarlanmış bir arka plana karşı sahte bir captcha kaplamasını gösteren ikna edici bir sahte web sayfasına yönlendirilir.
Bu aldatıcı tasarım, Booking.com’un hedeflenen kullanıcılara yanlış bir güvenlik duygusu verebilecek ve uzlaşma olasılığını artırabilecek ek doğrulama kontrolleri uyguladığı yanılsamasını yaratır.
Saldırı metodolojisi, misafirperverlik endüstrisinin operasyonları hakkında sofistike bir anlayış gösterir ve kötü niyetli yükler sunmak için oteller ve popüler rezervasyon platformu arasındaki güvenilir ilişkiyi etkili bir şekilde kullanır.
ClickFix Sosyal Mühendislik Tekniği, birden fazla kötü amaçlı yazılım ailesinin sunulmasını sağlar
Bu kampanyanın merkezinde, tehdit oyuncunun güvenlik önlemlerini atlama yaklaşımında bir evrimi temsil eden ClickFix Sosyal Mühendislik Tekniği bulunmaktadır.
Bu teknik, kullanıcılara sözde sorunları çözmek için belirli eylemler gerçekleştirmelerini öğreten sahte hata mesajları veya istemleri göstererek insan problem çözme eğilimlerinden yararlanır.
Bu özel uygulamada, sahte captcha kaplaması kullanıcılara bir Windows Run penceresi açmak için bir klavye kısayolu kullanmalarını, ardından yapıştırın ve kimlik avı sayfasının kullanıcının panosuna gizlice eklediği bir komutu yürütür.
Doğrudan kullanıcı etkileşimi için bu gereksinim, saldırının, aksi takdirde kötü niyetli komut dosyalarını algılayabilecek ve engelleyebilecek otomatik güvenlik özelliklerinden kaçmasına yardımcı olur.
Bu yöntem aracılığıyla yürütülen komut tipik olarak, teslim edilen belirli yüke bağlı olarak değişen kötü amaçlı kodu indirmek ve başlatmak için mshta.exe’den yararlanır.
Microsoft, Xworm, Lumma Stealer, Venomrat, Asyncrat, Danabot ve Netsupport Rat dahil olmak üzere bu kampanya aracılığıyla dağıtılan birçok emtia kötü amaçlı yazılım ailesini tespit etti.
Bu kötü amaçlı yazılım varyantlarının her biri, Storm-1865 aktivitesinde gözlemlenen tarihsel kalıplarla uyumlu olan hileli kullanım için finansal verileri ve kimlik bilgilerini çalmak için tasarlanmış yeteneklere sahiptir.
ClickFix tekniğinin benimsenmesi, tehdit oyuncunun taktikleri, teknikleri ve prosedürlerinde (TTP’ler) önemli bir evrimi temsil eder ve kimlik avı ve kötü amaçlı yazılım dağılımını hedefleyen geleneksel güvenlik önlemlerini atlatma çabalarını gösterir.
Sofistike kimlik avı tehditlerine karşı koruyucu önlemler ve örgütsel savunmalar
Kuruluşlar, bu sofistike kimlik avı kampanyasına ve benzer tehditlere karşı kendilerini korumak için çeşitli stratejiler uygulayabilir.
Eğitim, gönderen adreslerini kontrol ederek şüpheli e -postaları tanımlamaya, acil harekete geçirici mesajlara dikkat eterek, tıklamadan önce bağlantıların üzerine gelmeye ve genellikle kimlik avı girişimlerini gösteren tipografik hataları izleyerek şüpheli e -postaları tanımlamaya odaklanmıştır.
Teknik karşı önlemler, bu tehditlere karşı örgütsel korumada da hayati bir rol oynamaktadır.
Microsoft, kimlik avlamaya dayanıklı kimlik doğrulama yöntemlerinin dağıtılmasını, tüm hesaplarda çok faktörlü kimlik doğrulama (MFA) uygulanmasını, Microsoft Defender’ı tıklama üzerindeki bağlantıları yeniden kontrol etmek için Office 365 için yapılandırmayı ve kullanıcıları Microsoft Defender Smartscreen gibi koruyucu özellikleri destekleyen web tarayıcılarını kullanmaya teşvik etmenizi önerir.
Ek teknik savunmalar, antivirüs ürünlerinde bulut tarafından verilen korumanın sağlanması, kötü amaçlı alanlara erişimi önlemek için ağ korumasının uygulanması, otomatik araştırma ve iyileştirme yeteneklerinin sağlanması ve ofis 365’teki sıfır saatlik otomatik temizleme (ZAP) karantina kötü niyetli mesajlar için etkinleştirilmesi yer alıyor.
Uzlaşma göstergeleri
| Gösterge | Tip | Tanım |
| 92.255.57[.]155 | IP adresi | C2 Sunucusu Xworm Teslim Ediyor |
| 147.45.44[.]131 | IP adresi | C2 Sunucusu Danabot Teslim Ediyor |
| 176.113.115[.]170 | IP adresi | C2 Sunucu Lummastealer Teslimat |
| 31.177.110[.]99 | IP adresi | C2 Sunucusu Danabot Teslim Ediyor |
| 185.7.214[.]54 | IP adresi | C2 Sunucusu Xworm Teslim Ediyor |
| 176.113.115[.]225 | IP adresi | C2 Sunucu Lummastealer Teslimat |
| 87.121.221[.]124 | IP adresi | C2 Sunucusu Danabot Teslim Ediyor |
| 185.149.146[.]164 | IP adresi | C2 Sunucu Asyncrat sunuyor |
| 01C22C3394B166125D2CC646DB70A66934C979C2D03DF10127595DC76A6 | Dosya karma (sha-256) | Danabot kötü amaçlı yazılım |
| F87600e4df29d51337d0751bcf9f0796282be0a43bfa3fd237bffff5171a981e | Dosya karma (sha-256) | Danabot kötü amaçlı yazılım |
| 0c96efbde64693bde72f18e1f8d2e2572a334e22254a1a1948df82e7dcfe241d | Dosya karma (sha-256) | Danabot kötü amaçlı yazılım |
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.