Sunucu tarafı kimlik avı saldırıları hedef çalışan ve üye portalları, giriş bilgilerini çalmak için


Saldırganlar, çeşitli işletmelerde çalışan ve üye oturum açma portallarını tehlikeye atmak için sunucu tarafı kimlik avı planları kullanıyorlar.

Sunucu tarafı işlemlerine bu stratejik geçiş, algılamadan kaçınmak ve analizi karmaşıklaştırmak için tasarlanmıştır.

Gelişen kimlik avı teknikleri

Son araştırmalar, kimlik avı kampanyaları tarafından kullanılan taktiklerde belirgin bir evrimi vurguladı.

– Reklamcılık –
Google HaberleriGoogle Haberleri

Geleneksel yöntemler, çalıntı kimlik bilgilerini doğrulamak için istemci tarafı yönlendirmelerine dayanıyordu, ancak geçerli kurulum bunu yapmak için sunucu tarafı kontrollerini kullanıyor.

Hunt’a göre, bu değişiklik, Lowe çalışanlarını hedefleyen bir Google Reklam Maltizasyon kampanyası aracılığıyla bir ilk saldırı vektörünü belirledikten sonra araştırmacılar, benzer kimlik avı operasyonlarını ortaya çıkarmak için aramalarını genişlettiklerinde not edildi.

Paletli veri kümesi içindeki hedefli bir sorgu olan Huntsql gibi sofistike araçlar kullanmak, yeni sunucu tarafı davranışını sergileyen sayfaları belirlemeye yardımcı oldu.

Dikkate değer bir örnek alan adını içerir Myinfoaramapay[.]comAramark’ın meşru çalışan erişim portalını yakından taklit eden ancak sanal asistan özelliğinin kaldırılması gibi ince değişikliklerle yakından taklit eder.

Sunucu tarafı kimlik avı saldırıları Sunucu tarafı kimlik avı saldırıları
Myinfoaramapay’daki Kimlik Yardım Sayfasının Ekran Görüntüsü[.]com.

Teknik analiz

Daha fazla analiz, bu hileli sitelere kimlik bilgileri girildikten sonra, JavaScript kodlarının verileri yakaladığını ve bir PHP arka uç komut dosyasına gönderdiğini ortaya koydu. xxx.php.

Anında istemci tarafı doğrulaması yerine, bu komut dosyaları artık yeni bir uç noktayı tetikliyor, check.phpKimlik Bilgileri Sunucu tarafını doğrulamak için. Bu şunları içerir:

  • Başarılı doğrulama üzerine meşru bir giriş sayfasına anında yeniden yönlendirme.
  • Kimlik bilgileri yanlışsa bir uyarı ve sayfa yenileme.
  • Sunucu yanıt vermezse sessiz yoklama.

Bu arka uç mantığı, kimlik avı akışının görünürlüğünü önemli ölçüde azaltır ve savunucuların saldırıyı tespit etmesini ve analiz etmesini zorlaştırır.

Rusya’da Chang Way Technologies Co. Limited tarafından düzenlenen altyapı incelerken, araştırmacılar IP 80.64.30’da birden fazla alan belirlediler.[.]101, AT&T ve AFLAC gibi büyük şirketleri taklit edenler de dahil.

İlginç bir yönü, IP aracılığıyla doğrudan erişilebilen ve soruşturmaları yanlış yönlendirme veya hizmet sağlayıcılar için meşru görünme girişimi olabilecek bir tuzak web sitesi “Teknoloji Eczane CV’leri” nin kullanılmasıdır.

Savunucular, komut dosyalarına olağandışı yayın taleplerini izlemeleri istenir. xxx.php Ve check.phpözellikle kurumsal giriş sayfalarına benzeyen alanlardan.

Sunucu tarafı kimlik avı saldırıları Sunucu tarafı kimlik avı saldırıları
Highmark’ı taklit eden kötü niyetli giriş sayfası.

Ayrıca, ikincil kimlik doğrulama girişimlerini veya sunucu tarafı kimlik doğrulamasını gösterebilecek belirli parametrelerle trafiği gözlemlemek, bu tür kimlik avı girişimlerinin erken tespitini sağlayabilir.

Devam eden bu kampanya, özellikle iki faktörlü kimlik doğrulamasının oynadığı ancak yine de bu sofistike kimlik avı tekniklerine duyarlı olduğu ortamlarda, uyanıklık ve güncellenmiş güvenlik önlemlerine duyulan ihtiyacın altını çizmektedir.

Uzlaşma Göstergeleri (IOCS)

IP adresiİhtisasBarındırmaKonum
80.64.30.100ipafranchest.comBulutflareRusya, ABD
80.64.30.101LawPaymentpw.LiveChang Way Technologies Co. LimitedRusya, ABD
104.21.32.181(Tam rapora bakın)BulutflareRusya, ABD
172.67.153.52(Tam rapora bakın)Chang Way Technologies Co. LimitedRusya, ABD
104.21.20.29(Tam rapora bakın)BulutflareRusya, ABD
172.67.191.1(Tam rapora bakın)Chang Way Technologies Co. LimitedRusya, ABD

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link