İki önemli siber suçlu operasyon arasında ortak altyapı kullanan sofistike bir kimlik avı kampanyası, dünya çapında Office 365 kullanıcıları için önemli bir tehdit olarak ortaya çıktı.
Ağustos 2023’ten beri aktif olan Tycoon2FA Hizmet Olarak Kimlik Avı Platformu, Dadsec olarak da bilinen kötü şöhretli Storm-1575 grubu ile siber suç ekosisteminde zorlu bir ittifak yarattı.
Bu işbirliği, kurulmuş tehdit aktörlerinin işletme hedeflerine karşı saldırı yeteneklerini arttırmak için kaynakları ve altyapıyı paylaştığı kimlik avı taktiklerinde ilgili bir evrimi temsil etmektedir.
.png
)
Bu ortak operasyon tarafından kullanılan saldırı metodolojisi, çok faktörlü kimlik doğrulama korumalarını atlatmak için özel olarak tasarlanmış ortadaki düşman (AITM) tekniklerine odaklanmaktadır.
.webp)
Siber suçlular, kurbanları karmaşık bir uzlaşmacı alan ve yönlendirme hizmetleri zinciri aracılığıyla yönlendiren kötü niyetli ekler veya gömülü bağlantılar içeren kimlik avı e -postalarını dağıtır.
Kampanya, yük dağıtım mekanizmaları olarak “Res444.php”, “Cllascio.php” ve “.000.php” dahil benzersiz PHP kaynaklarını kullanıyor ve ikincisi Mart 2025 itibariyle gözlemlenen en son uyarlamaları temsil ediyor.
.webp)
Bu saldırılar genellikle güvenilirlik oluşturmak ve mağdur katılımını teşvik etmek için insan kaynakları, finans veya güvenlik uyarıları etrafında temalı sosyal mühendislik yemleri ile başlar.
Trustwave analistleri, Temmuz 2024’ten bu yana Tycoon2FA kampanyasına bağlı binlerce kimlik avı sayfasını içeren hızla genişleyen bir ağ belirledi ve bu tehdidin ölçeğini ve kalıcılığını gösterdi.
Altyapı analizi, benzersiz HTML gövdesi karmalarını paylaşan şablon web sayfaları, kimlik avı sayfalarını otomatik analizden korumak için özel bulutflare turnikesi zorluklarının dağıtılması ve penetrasyon test araçları ve web denetimi ile ilgili anahtar tespiti izleyen gelişmiş anti-analiz özellikleri de dahil olmak üzere tutarlı kalıplar ortaya koydu.
AITM yetenekleri, saldırganların oturum çerezlerini ve kimlik doğrulama jetonlarını yakalamasına izin vererek, mağdurların şifrelerini değiştirdikten sonra bile sürekli erişimi sürdürmelerini sağlayan kampanyanın etkisi basit kimlik hırsızlığının ötesine uzanıyor.
Teknik enfeksiyon mekanizması ve yük dağıtım
Tycoon2FA enfeksiyon zinciri, saldırı yaşam döngüsü boyunca kalıcılığı tespit etmek ve sürdürmek için tasarlanmış sofistike teknik karmaşıklık gösterir.
.webp)
Mağdurlar ilk kimlik avı bağlantısına eriştiklerinde, genellikle belirli alfanümerik desenlerle .RU üst düzey alanlarını kullanarak, açık kaynaklı bir web barındırma platformu olan siber panelden yararlanan alan adlarıyla başlayan çok aşamalı bir yönlendirme süreciyle karşılaşırlar.
Alanlar, 15-20 karakter uzatan alt alanlara sahip 5-10 karakter uzunluğuna sahiptir ve izleme amacıyla tutarlı bir parmak izi oluşturur.
Çekirdek yük dağıtım mekanizması, kötü amaçlı PHP dosyalarına gömülü JavaScript tabanlı şifre çözme rutinlerine dayanır.
Bu dosyalar, standart baz 64 kod çözmeden önce beş pozisyonda geriye doğru kayan Sezar şifre teknikleriyle başlayarak, iki aşamalı bir deobfuscation işlemine maruz kalan baz 64 kodlu içerik içerir.
Kod çözülmüş içerik, kodlanmış veri yükü, PBKDF2 anahtar türevi için tuz değerleri, başlatma vektörleri ve başarılı şifre çözme için gerekli olan parolalar dahil olmak üzere AES-CBC şifre çözme için kritik parametreleri ortaya çıkarır.
let randpattern = null;
if(route == "checkemail"){randpattern = /(pq|rs)[A-Za-z0-9]{0,10}(y2|12|30)[A-Za-z0-9]{2,7}(cv|wx)(3[1-9]|40)/gi}Başarılı şifre çözme işleminin ardından, kötü amaçlı yazılım, kullanıcıları son kimlik avı hedefine programlı olarak yönlendiren kendi kendini gösteren ankraj öğeleri oluşturan dinamik JavaScript üretir.
Sistem, doğrudan kimlik bilgisi hasadı başarısız olduğunda Microsoft Word Online veya Medya Oyuncuları gibi meşru platformları taklit eden tuzak sayfaları da dahil olmak üzere birden fazla geri dönüş mekanizması içerir.
Bu süreç boyunca, altyapı IP adresleri, coğrafi konum verileri, tarayıcı parmak izleri ve kullanıcı ajanı dizeleri dahil olmak üzere kapsamlı kurban zekası toplar ve daha sonra iletişim kanalını gizlemek için sert kodlanmış anahtarlarla AES şifrelemesi kullanılarak komut ve kontrol sunucularına iletilir.
9 yılını kutlayın. Run! Tam gücünün kilidini açmak TI Arama Planı (100/300/600/1.000+ arama istekleri) ve istek kotanız iki katına çıkacaktır.