Saldırganlar, çeşitli işletmelerde çalışan ve üye oturum açma portallarını tehlikeye atmak için sunucu tarafı kimlik avı planları kullanıyorlar.
Sunucu tarafı işlemlerine bu stratejik geçiş, algılamadan kaçınmak ve analizi karmaşıklaştırmak için tasarlanmıştır.
Gelişen kimlik avı teknikleri
Son araştırmalar, kimlik avı kampanyaları tarafından kullanılan taktiklerde belirgin bir evrimi vurguladı.
.png
)
Geleneksel yöntemler, çalıntı kimlik bilgilerini doğrulamak için istemci tarafı yönlendirmelerine dayanıyordu, ancak geçerli kurulum bunu yapmak için sunucu tarafı kontrollerini kullanıyor.
Hunt’a göre, bu değişiklik, Lowe çalışanlarını hedefleyen bir Google Reklam Maltizasyon kampanyası aracılığıyla bir ilk saldırı vektörünü belirledikten sonra araştırmacılar, benzer kimlik avı operasyonlarını ortaya çıkarmak için aramalarını genişlettiklerinde not edildi.
Paletli veri kümesi içindeki hedefli bir sorgu olan Huntsql gibi sofistike araçlar kullanmak, yeni sunucu tarafı davranışını sergileyen sayfaları belirlemeye yardımcı oldu.
Dikkate değer bir örnek alan adını içerir Myinfoaramapay[.]comAramark’ın meşru çalışan erişim portalını yakından taklit eden ancak sanal asistan özelliğinin kaldırılması gibi ince değişikliklerle yakından taklit eder.
Teknik analiz
Daha fazla analiz, bu hileli sitelere kimlik bilgileri girildikten sonra, JavaScript kodlarının verileri yakaladığını ve bir PHP arka uç komut dosyasına gönderdiğini ortaya koydu. xxx.php.
Anında istemci tarafı doğrulaması yerine, bu komut dosyaları artık yeni bir uç noktayı tetikliyor, check.phpKimlik Bilgileri Sunucu tarafını doğrulamak için. Bu şunları içerir:
- Başarılı doğrulama üzerine meşru bir giriş sayfasına anında yeniden yönlendirme.
- Kimlik bilgileri yanlışsa bir uyarı ve sayfa yenileme.
- Sunucu yanıt vermezse sessiz yoklama.
Bu arka uç mantığı, kimlik avı akışının görünürlüğünü önemli ölçüde azaltır ve savunucuların saldırıyı tespit etmesini ve analiz etmesini zorlaştırır.
Rusya’da Chang Way Technologies Co. Limited tarafından düzenlenen altyapı incelerken, araştırmacılar IP 80.64.30’da birden fazla alan belirlediler.[.]101, AT&T ve AFLAC gibi büyük şirketleri taklit edenler de dahil.
İlginç bir yönü, IP aracılığıyla doğrudan erişilebilen ve soruşturmaları yanlış yönlendirme veya hizmet sağlayıcılar için meşru görünme girişimi olabilecek bir tuzak web sitesi “Teknoloji Eczane CV’leri” nin kullanılmasıdır.
Savunucular, komut dosyalarına olağandışı yayın taleplerini izlemeleri istenir. xxx.php Ve check.phpözellikle kurumsal giriş sayfalarına benzeyen alanlardan.
Ayrıca, ikincil kimlik doğrulama girişimlerini veya sunucu tarafı kimlik doğrulamasını gösterebilecek belirli parametrelerle trafiği gözlemlemek, bu tür kimlik avı girişimlerinin erken tespitini sağlayabilir.
Devam eden bu kampanya, özellikle iki faktörlü kimlik doğrulamasının oynadığı ancak yine de bu sofistike kimlik avı tekniklerine duyarlı olduğu ortamlarda, uyanıklık ve güncellenmiş güvenlik önlemlerine duyulan ihtiyacın altını çizmektedir.
Uzlaşma Göstergeleri (IOCS)
| IP adresi | İhtisas | Barındırma | Konum |
|---|---|---|---|
| 80.64.30.100 | ipafranchest.com | Bulutflare | Rusya, ABD |
| 80.64.30.101 | LawPaymentpw.Live | Chang Way Technologies Co. Limited | Rusya, ABD |
| 104.21.32.181 | (Tam rapora bakın) | Bulutflare | Rusya, ABD |
| 172.67.153.52 | (Tam rapora bakın) | Chang Way Technologies Co. Limited | Rusya, ABD |
| 104.21.20.29 | (Tam rapora bakın) | Bulutflare | Rusya, ABD |
| 172.67.191.1 | (Tam rapora bakın) | Chang Way Technologies Co. Limited | Rusya, ABD |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!