Tehdit aktörleri Nisan ve Mayıs 2025 arasında çok dalga bir kimlik avı kampanyası düzenledi ve Nifty’nin meşru altyapısından yararlandı[.]Saldırılarını yürütmek için önde gelen bir Japon İnternet Servis Sağlayıcısı (ISS) olan com.
Önde gelen bir tehdit tespit varlığı olan Raven tarafından ortaya çıkarılan bu operasyon, geleneksel e -posta güvenlik sistemlerinden kaçma yeteneği nedeniyle, bunları sahte olmaktan ziyade güvenilir alanları kötüye kullanarak öne çıkıyor.
Geleneksel savunmaları atlayan gizli bir kampanya
Nifty’ye ücretsiz tüketici hesaplarını kaydederek[.]com, saldırganlar kimlik avı e-postalarını doğrudan ISS’nin MTA-snd-e0x.mail.nifty gibi posta sunucuları aracılığıyla gönderdi[.]com, 106.153.226.0/24 ve 106.153.227.0/24 gibi IP aralıkları kullanılarak.
.png
)
E -postalar, SPF, DKIM ve DMARC dahil olmak üzere tüm standart kimlik doğrulama protokollerini kabul ederek, kötü niyetli etkinlikleri işaretlemek için bu kontrollere dayanan en güvenli e -posta ağ geçitlerine (SEG’ler) görünmez hale getirir.
Meşru altyapının bu sömürülmesi, eski savunmalarda genellikle kırık kimlik doğrulamasına veya kara listeye alınmış alanlara odaklanan kritik bir güvenlik açığını vurgulamaktadır.
Kampanya, 28 Nisan 2025’ten başlayarak, bir “infaz anlaşması” etrafında temalı bir ilk yem ile birden fazla dalgada ortaya çıktı, ardından 16 Mayıs’ta güvenli bir anlaşma varyantı ile sonraki dalgalar ve 23 Mayıs’ta bir dakikadan kısa bir sürede düzinelerce e-posta gönderildi.
Bu model otomasyon ve muhtemelen düzenleme için kimlik avı kitlerinin kullanımını önermektedir. E -postalar, gövdede doğrudan kötü niyetli bağlantılar içermiyordu, bunun yerine yükleri PDF’ler ve HTML dosyaları gibi eklere “Safe_terms_may2025.pdf” ve “execution_agreement.html” gibi adlarla yerleştirdi.
Bu ekler, 2VF78GNAFUTDC5ZQMHNG gibi gizlenmiş alanlarda barındırılan kimlik avı sitelerine yol açmadan önce, görünüşte iyi huylu pazarlama izleyicileri aracılığıyla yönlendirme zincirlerini başlattı.[.]IQMWPX[.]Gmail oturumu ve jeton hırsızlığı dahil olmak üzere kimlik bilgisi hasat için tasarlanmış RU.
Uyarlanabilir saldırı dalgaları
Whitespace karakterleri ile HTML dolgusu, yükleri gizlemek için çok katlı mime yapıları, ad sahtekarlığı (örneğin, “DocuSign aracılığıyla ad”) ve kusursuz AI tarafından oluşturulan dilbilgisi gibi teknikler, e-postaların geleneksel filtreleri atladığını sağladı.
Raven, olağandışı gönderen alıcı kombinasyonları, sözleşmeyle ilgili yemlerin tekrar tekrar kullanımı, marka taklit etme, aynı bağlanma modelleri ve şüpheli yönlendirme zincirleri gibi davranışsal göstergeler yoluyla tehdidi tanımladı.
Bu orta ila yüksek sofistike saldırı, genellikle kırık kimlik doğrulama veya e-posta gövdesindeki şüpheli URL’ler gibi belirgin kırmızı bayraklardan yoksun tehditleri tespit edemeyen eski e-posta güvenlik sistemlerinin sınırlamalarının altını çiziyor.
Doğrulanmış altyapının kötüye kullanılması ve kampanyanın uyarlanabilir, kaçamaklı doğası, saldırganların etkiyi en üst düzeye çıkarmak için güvenilir ortamlara karıştığı kimlik avı operasyonlarında artan bir eğilime işaret etmektedir.
Raven’ın bu kampanyayı tespit etmesi, temiz başlıklara ve geçerli kimlik doğrulamasına rağmen, bu tür tehditlerle mücadele etmek için ileri davranışsal analiz ve anomali tespiti ihtiyacını vurgulamaktadır.
Kuruluşlar, yasal platformlardan yararlanan giderek daha sofistike kimlik avı girişimlerine karşı korunmak için kullanıcı davranışlarını, içerik kalıplarını ve gizli yönlendirme mekanizmalarını inceleyen çözümleri benimseyerek geleneksel savunmaların ötesinde gelişmelidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!