Geter ATT & CK çerçevesinde T1555.003 olarak tanımlanan sofistike bir kimlik hırsızlık tekniği, dünya çapında kuruluşlar için önemli bir tehdit olarak ortaya çıkmıştır.
Bu teknik, rakiplerin kullanıcı adlarını ve şifreleri doğrudan web tarayıcılarından çıkarmalarını sağlar; bu, kullanıcı girişlerini kolaylaştırmak ve rahatlığı artırmak için bu kimlik bilgilerini yaygın olarak saklar.
Sonuç olarak, saldırganlar hem kişisel hem de kurumsal hesaplara yetkisiz erişim sağlayabilir, bu da hedeflenen ağlardaki ayrıcalık artış ve yanal hareket riskini artırabilir.
.png
)
Saldırganlar web tarayıcılarından şifreler çalıyor
T1555.003 tekniği, giriş kimlik bilgilerini kaydeden modern tarayıcılarda kolaylık özelliğinden yararlanır.
Son araştırmalara göre, web tarayıcıları genellikle bu kimlik bilgilerini bir kimlik bilgisi mağazasında şifreli bir formatta saklıyor, ancak tehdit aktörleri bunları düz metin olarak çıkarmak için yöntemler geliştirdi.
Windows sistemlerinde saldırganlar, AppData \ Local \ Google \ Chrome \ User Data \ Varsayılan \ Oturum Açma verilerini hedefleyerek ve SQL sorgusunu yürüterek Google Chrome’un şifreli kimlik bilgilerine erişebilir: SELECT_URL, USERNAME_VALUE, Passsor_Value Logins;
Şifrelenmiş veriler daha sonra kurbanın önbelleğe alınmış oturum açma kimlik bilgilerini şifre çözme anahtarı olarak kullanan Windows API işlevi CryptProtectData kullanılarak şifre çözülür.
Firefox, Edge ve Safari gibi diğer popüler tarayıcılarda da benzer güvenlik açıkları vardır. Arızalarda, bu kimlik bilgileri idari hesaplarla örtüştüğünde genellikle ayrıcalık artışına yol açtığından, sonuçlar şiddetlidir.
Tehdit aktörleri aktif olarak güvenlik açığından yararlanıyor
Güvenlik telemetri verileri, yedi ana APT grubunun bu tekniği aktif olarak dağıttığını göstermektedir:
Siber güvenlik araştırmacısı Steven Lim, “2025’in başından beri tarayıcı kimlik bilgisi hırsızlık operasyonlarında önemli bir artış gördük” diye açıklıyor.
“Tehdit İstihbarat Gösterge Tablosunda gösterilen sorgu sonuçları, bu teknikle ilgili 6.000’den fazla aktif göstergeyi yansıtıyor.”
En önde gelen tehdit, ekran görüntüleri ve pano verileri toplarken, birden fazla tarayıcıdan kimlik bilgilerini toplayabilen bir casus yazılım olan Ajan Tesla’dır.
Aktörle ilgili bir diğer, hem devlet destekli casusluk hem de finansal olarak motive olmuş operasyonları yürüten Çin siber tehdit grubu APT41’dir.
Bu kırılganlıktan yararlanan diğer aktörler arasında İran bağlantılı Ajax Güvenlik Ekibi, Çin merkezli APT3, İran askeri bağlı APT33, Kuzey Kore grubu APT37 ve İran’ın IRGC ile ilişkili APT42.
Güvenlik analistleri bu saldırı ile ilgili çok sayıda gözlemlenebilir belirlediler. En yaygın olanlar:
- 3.729 gösterge gösteren SHA-256 imzalı dosya ve 256 göstergeli SHA-1.
- % 75 güvenle 859 örneği ve% 83 güvenle 68 vakası olan MD5 karmalar.
- URL ve etki alanı göstergeleri sırasıyla 584 ve 170 maç gösterir.
- Ağ trafik kaynağı 154 göstergeli referanslar.
Bu saldırıları tespit etmek için kuruluşlar, tarayıcı kimlik bilgileri mağazalarına dosya erişim modellerini izlemelidir. Yetkisiz işlemler yerel durum veya oturum açma verileri gibi tarayıcı dosyalarına erişmeye çalıştığında Güvenlik Araçları Olay Kimliği 4663 günlükleri oluşturabilir.
Uzmanlar, çok faktörlü kimlik doğrulama uygulamasını, parolaları düzenli olarak değiştirmeyi ve ayrıcalıklı erişimi sınırlamayı önerir.
Teknik ekipler için, Sigma kuralları gibi araçları kullanarak tarayıcı kimlik mağazalarına dosya sisteminin erişimini izlemek algılama özelliklerini iyileştirebilir.
Kuruluşlar ayrıca tarayıcıların yerel olarak sunduklarının ötesinde ek koruma katmanları sağlayan modern kimlik bilgisi yönetim çözümlerini dağıtmayı düşünmelidir.
Bu tehdit gelişmeye devam ettikçe, güvenlik profesyonelleri uyanık kalmalıdır. Şu anda dolaşan 6.000’den fazla aktif tehdit göstergesiyle, tarayıcı depolama mekanizmaları yoluyla kimlik bilgisi uzlaşma riski kritik olarak yüksek.
Güvenlik Açığı Saldırısı Simülasyonu Hackerlar Giriş Noktaları İçin Web Sitelerini Nasıl Hızlı Araştırdılar – Ücretsiz Web Semineri