Cyble Research and Intelligence Labs (CRIL) kısa bir süre önce Macaristan’ın Bilgisayar Acil Müdahale Ekibi (HunCert) gibi güvenilir kuruluşlar olarak poz vermek için 2021’de keşfedilen Logokit Kimlik Avı Kitini kullanan çok gelişmiş bir kimlik avı kampanyası keşfetti.
Devam eden bu operasyon, Macaristan, Papua Yeni Gine, ABD ve Suudi Arabistan’daki küresel bir erişim kapsayan kuruluşlarla bankacılık ve lojistik de dahil olmak üzere çeşitli sektörü hedefliyor.
Sofistike taktikler küresel varlıkları hedef
Kampanyanın teknik kahramanlığı, kimlik bilgisi hasat başarısını en üst düzeye çıkarmak için meşru bulut altyapısı ve ileri aldatma tekniklerini kullanmasında yatmaktadır.
Amazon Web Services (AWS) S3 kovalarında kimlik avı sayfalarına ev sahipliği yaparak, saldırganlar, kötü niyetli sitelerinin güvenilirliğini artırırken, bu tür platformlarla ilişkili doğal güvenden tespit edilmez.
Buna ek olarak, Cloudflare Turnstile A Captcha alternatifinin entegrasyonu, sahanın meşruiyetinin kurbanlarını ikna ederek ve kimlik bilgisi sunma olasılığını önemli ölçüde artırarak yanlış bir güvenlik duygusu yaratır.
Bu kampanyanın merkezinde, gerçekliği arttırmak için hedeflenen kuruluşların önceden doldurulmuş e -posta adresleriyle tamamlanan meşru giriş portallarını yakından taklit eden kimlik avı sayfalarının stratejik tasarımı bulunmaktadır.
Örneğin, Cril tarafından tanımlanan URL’ler, FlyPlabtk’te barındıranlar gibi[.]S3.US-EAST-2.AMAZONAWS.COM, kullanıcıları şifrelerini girmeye kandırmak için kullanıcı adı alanındaki huncert e-posta adreslerini görüntüleyin.
Kalıcı tehditler
Logokit Framework, Clearbit ve Google S2 Favicon gibi API’ler aracılığıyla logo alımını otomatikleştirerek saldırıyı düzene sokarak, kurbanın e -posta alanına göre marka öğelerini dinamik olarak çekiyor.
Bu, manuel özelleştirme ihtiyacını ortadan kaldırarak kampanyayı birden fazla hedef arasında ölçeklenebilir ve uyarlanabilir hale getirir.
Ayrıca, hasat edilen kimlik bilgileri bir komut ve kontrol (C&C) alanına, MettCoint’e yönlendirilir[.]Ekim 2024’te kayıtlı olan ve Temmuz 2025 itibariyle Virustotal’da sıfır tespit ile aktif olan ve gizli operasyonunun altını çizen com.
Bu alandaki açık dizin yolları, Papua Yeni Gine’deki Kina Bank ve Suudi Arabistan’daki lojistik firmaları gibi varlıklara yönelik saldırıların yanı sıra Wetransfer gibi hizmetleri taklit eden ek kimlik avı sayfalarını ortaya çıkardı.
Submission sonrası sahte bir hata mesajının kullanılması “Hata Gönderme Formu. Lütfen tekrar deneyin” Şüpheyi daha fazla geciktirerek saldırganlara çalınan verileri kullanma için yeterli zaman kazandırır.
Bu kampanyanın kalıcılığı, tespit edilmemiş statüsü ile birleştiğinde, kimlik avı taktiklerinin gelişen karmaşıklığını ve marka istihbarat çözümleri (örneğin, Cyble Vision), çok faktörlü kimlik doğrulama (MFA) ve bu tür tehditlerle mücadele etmek için çalışan farkındalık eğitimi gibi proaktif siber güvenlik önlemlerine acil ihtiyacı vurgulamaktadır.
Uzlaşma Göstergeleri (IOCS)
| Gösterge | Gösterge Türü | Tanım |
|---|---|---|
| uçuş[.]s3.us-eest-2.amazonaws.com/…/he-opas.html | Url | Kimlik avı URL’si |
| Hxxps: // bağlantı[.]Onrender.com/clastk-chy.html | Url | Kimlik avı URL’si |
| jstplastoss-bk.s3[.]US-EAST-2.AMAZONAWS.COM/…/AUTH-HE-OPAS.html | Url | Kimlik avı URL’si |
| ecowhizz.co[.]za/ecowhizz.co.zaza/[email protected] | Url | Kimlik avı URL’si |
| Mettcoint[.]com | Url | C & C |
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.