Kuveyt’in balıkçılığını, telekomünikasyonunu ve sigorta sektörlerini hedefleyen titizlikle düzenlenmiş bir kimlik avı kampanyası, Hunt.io araştırmacıları tarafından ortaya çıktı ve 230’dan fazla kötü niyetli alandan oluşan genişleyen bir ağ ve sıkıca örgü kümesini ortaya çıkardı.
İlk olarak 2025’in başlarında tespit edilen bu devam eden işlem, altyapısını bağlamak için yeniden kullanılan SSH kimlik doğrulama anahtarlarını ve tutarlı otonom sistem numarası (ASN) kullanımı kaldırır ve savunuculara tehdidi izlemek ve hafifletmek için kritik parmak izleri sağlar.
Öncelikle AEZA International Ltd’nin ağında (ASN AS210644) ev sahipliği yapan kampanya, Kuwait ve daha geniş Gulf bölgesindeki tüketici ve işletme segmentleri karşısında şüphesiz kullanıcılardan kimlik bilgilerini toplamak için tasarlanmış klonlanmış giriş portalları ve taklit edilmiş web sayfaları aracılığıyla gelişmiş tradecraft sergiliyor.
.png
)
Kuşa Altında Kuveyt Industries
Hunt.io’nun soruşturması başlangıçta üç temel sunucuyu tespit etti-78.153.136[.]29, 134.124.92[.]70 ve 138.124.78[.]35, büyük bir telekomünikasyon sağlayıcısı olan Kuveyt ve Zain’in Ulusal Balıkçılık Şirketi ve Zain gibi meşru varlıkları taklit eden 100’den fazla kimlik avı alanını barındırıyor.
Bunların ötesinde, SSH anahtarının daha derin bir analizi, özellikle parmak izleri DBE1065A0CAAA2D1D89001B505AC1A00C5AEE620225B9897580C3C148EA2537 ve 000e6797a0d6571bf2b4e77f86b1e68c61d23f0369b6a5e96682a9d84b4cbef9, aynı kampanyaya bağlı sekiz ek IP adresi ortaya çıkardı.
Bu sunucular, Aeza’nın ağı içinde, Bahreyn’deki Delmon Fish ve Kuveyt otomotiv sigortası hizmeti olan Saiyarti gibi bölgesel markaları hedefleyen alan adlarını barındırıyor.
Altyapı kalıpları operasyonel ölçeği ortaya çıkarır
Alanlar genellikle doğrudan yazım hattından kaçınarak, bunun yerine Alwattnya gibi çeviriler ve genel marka referanslarını kullanarak[.]com ve zain-kw[.]Pro, kullanıcıları aldatmak için görsel olarak ikna edici web sayfalarıyla eşleştirildi.
Özellikle, mobil ödeme cazibesi Zain’in ödeme sürecini taklit etmek, önemli riskler oluşturur ve potansiyel olarak SIM swapları veya hesap devralmaları için telefon numarası hasatını sağlar.
Bu operasyonel esneklik, verimlilik için çok kiracılı sunucu kullanımı ile birleştiğinde, tehdit aktörlerinin ölçeklenebilirlik ve kalıcılık üzerine stratejik odaklanmasının altını çizmektedir.
Doğrudan kötü amaçlı yazılım yükleri gözlenmemiş olsa da, Ocak 2025’ten bu yana alanların sürekli kaydı, güvenilir bölgesel kimliklerden yararlanmak için uzun vadeli bir çabayı göstermektedir.
Savunucular, kötü amaçlı yazılım görüşleri veya marka temalı alanlar için AS210644 içindeki SSH anahtar yeniden kullanımı ve AEZA tarafından barındırılan varlıkları sorgulamaları istenir.
Hunt.io, ilgili altyapıyı tanımlamak için özel HuntSQL sorguları sağlar ve çeviri alan adlarının ve klonlanmış web sitelerinin proaktif algılanmasını vurgular.
Kampanya mobil temalı kimlik avı yemleriyle geliştikçe, hedeflenen kuruluşlarda daha fazla hasar verilmeden önce ortaya çıkan ödeme taklit etme sayfaları için uyanıklık, bu sofistike operasyonu bozmak için kritik öneme sahiptir.
Uzlaşma Göstergeleri (IOCS)
| IP adresi | Alan (lar) (örnek) | Barındırma şirketi | Konum |
|---|---|---|---|
| 138.124.92[.]70 | Troller[.]ile, tamcar[.]profesyonel | Aeza International Ltd | İLE İLGİLİ |
| 77.221.152[.]224 | Al-Watanyia[.]com, syarati[.]profesyonel | Aeza International Ltd | İLE İLGİLİ |
| 89.208.97[.]251 | Dalmon-B[.]com, Dalmon-Fishs[.]com | Aeza International Ltd | İLE İLGİLİ |
| 78.153.136[.]29 | Delmone11[.]com, zain-kw[.]profesyonel | Aeza International Ltd | İLE İLGİLİ |
| 91.108.240[.]137 | Swatania[.]com, Dallmonfish[.]com | Aeza International Ltd | İLE İLGİLİ |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!