Gelişmiş tehdidi önleme konusunda uzmanlaşmış Kazakistan merkezli bir şirket olan TLAB Technologies, son siber güvenlik olayında kamu sektörü müşterilerini hedefleyen bölgedeki ilk bilinen kimlik avı girişimlerinden birini keşfetti.
Saldırı, kullanıcı kimlik bilgilerini hasat etmek için profesyonel olarak hazırlanmış bir sahte oturum açma sayfasından yararlandı ve Telegram’ın BOT API’sını gizli bir exfiltrasyon kanalı olarak kullandı.
Bu yöntem, tamamen yeni olmasa da, meşru hükümet arayüzlerini taklit etmede yüksek düzeyde bir sofistike olduğunu gösterdi ve bu da şüphesiz kullanıcılar için özellikle aldatıcı hale getirdi.
Kampanya, kimlik bilgisi hırsızlığını kolaylaştırmak için önceden doldurulmuş e-posta alanları ve sahte güvenlik bildirimleri gibi sosyal mühendislik taktikleri aracılığıyla kullanıcı güvenini kullandı.
TLab’ın anti-bağlama sistemi, algılamada önemli bir rol oynadı, sezgisel analizin benzersiz bir karışımı, oluşturulan içerik çıkarma için optik karakter tanıma (OCR) ve manuel müdahale olmadan kötü niyetli HTML’yi tanımlamak için otomatik davranışsal izleme.
Bu, 60 saniye içinde hızlı karar üretimi için sistemin sıfır gün tehditlerine ve ileri kalıcı tehditlere (APT’ler) karşı etkinliğini vurguladı.
Saldırı mekanizmasının teknik dökümü
Kimlik avı operasyonu, sahte bir giriş formu oluşturan kötü amaçlı bir HTML dosyası ile başlar, resmi Kazakistan hükümet portallarına görsel olarak aynı ..gov.kz etki alanları.
Gömülü JavaScript, standart sunucu tarafı işlemeyi tetiklemeden girilen kullanıcı adlarını ve şifreleri yakalayarak form gönderimlerini keser.
Komut dosyası daha sonra çalınan kimlik bilgileri günlüklerini simüle eden biçimlendirilmiş bir mesaj oluşturur ve Telegram Bot API’sına bir GET isteği yoluyla iletir ve saldırgan kontrollü bir sohbete gerçek zamanlı veri açığa çıkmasını sağlar.
Analiz edilen bir örnekte, sayfa önceden doldurulmuş bir hükümet e-postası gösterdi (örneğin, @. ***. Gov.kz) ve kullanıcıları resmi güvenlik sistemi tarafından korunma talep eden aldatıcı bir nota eşlik ettiği “posta kutunuzu dosyaya erişmek için onaylamalarını” istedi.
Bu kullanıcı arayüzü aldatmacası, psikolojik güvenlik açıklarından yararlanarak inandırıcılığı artırır. “Spesifikasyon” (SHA-256: 7EE39D2572F161D4C94BB06BDA5F5D110964AA470071) başlıklı ikincil bir numune, bulanık arka planlar ve obfuscation için tablo tabanlı görüntüler kullanıldı.
Kimlik bilgisi girişi üzerine, saldırının başarısını maskeleyerek meşru bir Microsoft destek sayfasına yönlendirmeden önce verileri üçüncü taraf bir form gönderme hizmetine gönderdi.
Her iki örnek de siber öldürme zinciri ile uyumlu: HTML yüklerinin hedefli keşif ve silahlandırılmasından, kimlik avı e -posta sunumu ve güven sömürüsü ile C2’ye telgraf ve hesap uzlaşması yoluyla objektif yerine getirme yoluyla.
TLab’ın sanal alan analizi, dinamik sayfa değişikliklerinin ekran görüntülerini yakaladı ve yürütülebilir kod yürütülmesini önleyerek geleneksel antivirüsten kaçan statik kimlik avı davranışlarını ortaya çıkardı.
Savunma stratejileri
Bu kampanya, düşmanların kötü niyetli uçlar için telgraf ve firebase gibi meşru platformları yeniden kullandığı ve geleneksel ağ savunmalarını atladığı gelişen tehdit manzarasının altını çiziyor.
Derin davranışsal analiz ve API token algılaması entegre ederek, TLAB’nin araçları otomatik olarak 100’den fazla kötü niyetli etkinliği işaretleyerek tek bir sunucuda günde 10.000 örneği işleyerek işaretledi.
Rapora göre, özellikle hükümet ve kritik altyapı sektörlerinde kuruluşlar, kimlik avı göstergeleri konusunda çalışan eğitimi, web uygulaması güvenlik duvarlarının uygulanması ve anormal API çağrıları için gerçek zamanlı izleme de dahil olmak üzere çok katmanlı savunmalara öncelik vermelidir.
Tlab’ın Trendi Micro gibi firmalarla ittifakları tarafından gösterildiği gibi, sürekli tehdit istihbarat paylaşımı, bu tür saldırıları önlemek için çok önemlidir.
Nihayetinde, bu olay, teknik yetenekleri sosyal mühendislik ile harmanlayan veri açığa vurma taktiklerine karşı proaktif güvenlik açığı değerlendirmeleri ihtiyacını vurgulamaktadır.
Uzlaşma Göstergeleri (IOCS)
| Kategori | Gösterge |
|---|---|
| Dosya karma | 7EE39D2572F161D4C94B06BDA5BEA229D39DC86980AD5F5D110964AA470071 (SHA-256) |
| Telgraf jetonu | 7527440371: aagiar_obbdwitbuguk4bh_qmt6tngpout |
| Telgraf sohbet kimliği | 6516482987 |
| Ağ uç noktası | Submform.com/on59mco96 (kimlik bilgisi koleksiyonu) |
| URL’yi yeniden yönlendir | Support.microsoft.com/en-en/onedrive (exfiltrasyon sonrası) |
AWS Security Services: 10-Point Executive Checklist - Download for Free