SSH Auth Keys Yeniden Kullanımı Sofistike Hedefli Kimlik Yardım Saldırısı’nı ortaya çıkarır


SSH Auth Keys Yeniden Kullanımı Sofistike Hedefli Kimlik Yardım Saldırısı'nı ortaya çıkarır

Kuveyt’in kritik sektörlerini hedefleyen koordineli bir kimlik avı kampanyası, belirgin bir operasyonel güvenlik atlaması yoluyla ortaya çıktı: SSH kimlik doğrulama anahtarlarının birden fazla saldırı sunucusu boyunca tutarlı olarak yeniden kullanılması.

Mayıs 2025 itibariyle aktif kalan kampanya, balıkçılık, telekomünikasyon ve sigorta sektörlerindeki meşru Kuveyt işletmelerini taklit eden titizlikle klonlanmış giriş portalları aracılığıyla kimlik bilgilerini toplamak için 100’den fazla alan kullandı.

Saldırganlar, geleneksel yazım hatası teknikleri kullanmak yerine, transliterasyonlar ve jenerik referanslar kullanarak marka ilham alan alan adlarını kaydettirerek geleneksel algılama yöntemlerini daha az etkili hale getirdiler.

Google Haberleri

Kimlik avı altyapısı, IP adreslerine yoğunlaşan birden fazla sunucuyu kapsar 78.153.136[.]29, 134.124.92[.]70 ve 138.124.78[.]35, hepsi Aeza International Ltd’s Network’te (AS210644) barındırıldı.

Bu sunucular, operasyonel verimliliği en üst düzeye çıkarmak için farklı sektörleri hedefleyen alanları aynı anda evreleme çok kiracılı özellikler sergiler.

Alanların çoğu, Alwattnya gibi örneklerle Kuveyt Ulusal Balıkçılık Şirketi’ni taklit ediyor[.]com, wtanaya[.]com, Elwattanya1[.]com ve Alwattnia[.]com.

Web sayfaları, ürün listeleri ve alışveriş sepeti özellikleri ile tamamlanan meşru şirket vitrin önlerini ikna edici bir şekilde çoğaltır.

Hunt.io araştırmacıları, Kuveyt’teki sürekli kimlik avı faaliyeti hedefleme endüstrileri ile ilgili bir ipucu aldıktan sonra kampanyayı belirlediler.

Araştırmaları, 230+ alanının yarısından fazlasının Kuveyt Ulusal Balıkçılık Şirketi’ni taklit ettiğini ortaya koydu.

Ulusal Balıkçılık Şirketi’ni taklit eden web sayfası (kaynak – hunt.io)

Web sayfaları, ulusal balıkçılık şirketinin çevrimiçi mağazasını taklit eden örnek bir web sayfası gösteren meşru sitelerin görünümünü yakından taklit etti.

Altyapı

Bu işlemi ortaya çıkaran kritik teknik bulgu, SSH kimlik doğrulama anahtarlarının kimlik avı altyapısında tutarlı olarak yeniden kullanılmasıdır.

İki spesifik SSH anahtar parmak izi, birden fazla sunucuda tekrar tekrar konuşlandırıldı ve araştırmacıların görünüşte ilgisiz kimlik avı alanlarını bağlamasına izin veren ayırt edici bir imza oluşturuldu.

Bu operasyonel güvenlik hatası, güvenlik ekiplerine çeşitli alan adlandırma kurallarını ve barındırma düzenlemelerini kullanmasına rağmen kampanyanın tam kapsamını belirlemek için güvenilir bir yöntem sağladı.

SSH anahtar yeniden kullanımı, sofistike tehdit aktörlerinin farkında olmadan altyapı yönetimi kısayolları yoluyla nasıl tespit edilebilir kalıplar oluşturabileceğini göstermektedir.

Yeni sunucuları yapılandırırken, saldırganlar her bir varlık için benzersiz kimlik bilgileri oluşturmak yerine aynı kimlik doğrulama anahtarlarını dağıttılar.

138.124.92’de ssh anahtar pivotu[.]70 (kaynak – hunt.io)

Bu, Hunt.io araştırmacılarının, 138.124.92’de bir SSH anahtar pivot görselleştirmesini gösteren altyapı boyunca dönmelerine izin verdi.[.]70.

SSH anahtar parmak izi yoluyla ilgili altyapıyı tanımlamak için, güvenlik uzmanları bu belirli anahtarları ağ ortamlarında sorgulayabilir.

Aeza International Ltd’s ASN’deki tutarlı dağıtım modeli, tehdit avcılık çabaları için ek bağlam sağlar.

Güvenlik ekipleri, bu özel ASN’deki potansiyel kötü amaçlı yazılım manzaralarını tanımlamak için aşağıdaki sorguyu kullanabilir:-

SELECT ip, hostname, malware.name
FROM malware
WHERE asn.number == '210644'
GROUP BY ip, hostname, malware.name

Kampanya, büyük bir Kuveyt telekomünikasyon sağlayıcısı olan Zain’i taklit eden alanları içerecek şekilde balıkçılığın ötesine genişledi.

Alan Zain-KW[.]Pro, telefon numaralarını ve ödeme ayrıntılarını toplamak için tasarlanmış ikna edici bir mobil ödeme portalı barındırdı.

Zain Sahtekar Hesap Sayfası (Kaynak – Hunt.io)

Sahtekâr Zain hesap sayfası, meşru hizmetleri dikkatlice taklit ederek, kimlik avı göstergelerinin daha az belirgin olduğu mobil cihazlarda algılamayı özellikle zorlaştırdı.

Bu kimlik avı kampanyası, saldırganların zaman zaman kritik operasyonel izler bırakırken tekniklerini nasıl geliştirmeye devam ettiklerini vurgulamaktadır.

Farklı alan stratejileri, sektörler arası hedefleme ve mobil ödeme cazilerinin birleşimi, sosyal mühendisliğe sofistike bir yaklaşım gösterirken, SSH anahtar yeniden kullanımı savunuculara değerli bir algılama fırsatı sağlar.

How SOC Teams Save Time and Effort with ANY.RUN - Live webinar for SOC teams and managers



Source link