Kurumsal kimlik bilgilerini toplamak için Microsoft 365 oturum açma sayfalarının kimliğine bürünen Tykit adlı gelişmiş bir kimlik avı kiti.
İlk olarak Mayıs 2025’te tespit edilen kit, SVG dosyalarını gizli bir dağıtım mekanizması olarak kullanarak Eylül ve Ekim aylarında faaliyette artış gösterdi.
Temel kimlik avı tuzaklarından farklı olarak Tykit, tutarlı gizleme teknikleri ve çok aşamalı komuta ve kontrol (C2) etkileşimleri yoluyla olgunluk sergiliyor ve bu da onu küresel kuruluşlar genelinde kimlik bilgileri hırsızlığı için güçlü bir araç haline getiriyor.
Kitin yükselişi, görünüşte zararsız görüntü dosyalarının JavaScript yüklerini barındırdığı SVG tabanlı saldırılarda daha geniş bir artışla paralellik gösteriyor. Bu komut dosyaları, kurbanları sahte oturum açma sitelerine yönlendirmek için tehlikeli eval() işlevi aracılığıyla yürütülen kötü amaçlı kodu yeniden oluşturmak için XOR kodlamasını kullanıyor.
Siber güvenlik firması ANY.RUN tanımladı Tykit, ortadaki rakip (AitM) teknikleri aracılığıyla kurumsal kimlik bilgilerini yakalamak için Microsoft 365 oturum açma sayfalarının kimliğine bürünen olgun bir hizmet olarak kimlik avı (PhaaS) kiti.
Kitit Kimlik Avı Kiti Microsoft 365 Girişini Taklit Ediyor
Tykit, Mayıs 2025’in başlarında korumalı alan ortamlarında ortaya çıktı; araştırmacılar tek bir şüpheli SVG’den (SHA256: a7184bef39523bef32683ef7af440a5b2235e83e7fb83c6b7ee5f08286731892) 189’dan fazla ilgili oturuma yöneldi.
Loginmicr0sft0nlineeckaf gibi alan adları[.]52632651246148569845521065[.]cc, genellikle Base64 kodlu kurban e-postalarını “?s=” parametresi aracılığıyla ekleyerek kimlik avı sayfalarını barındırır. Süzme segy’deki sunucuları hedef alıyor[.]cc varyantları, /api/validate ve /api/login’e aşamalı POST istekleri gönderiyor.
Bu altyapı, ^loginmicr(o|0)s gibi kalıplara sahip, etki alanı oluşturma algoritmalarına benzeyen şablonlu etki alanlarını kapsar.?.([a-z]Kimlik avı ana bilgisayarları ve ^segy? için +)?\d+.cc$. C2 için.
Kitin tutarlılığı, değişmeyen istemci tarafı mantığı ve şaşırtmacası, organize operatörlerin kiti geniş bir alana dağıttığını ve geliştirici araçlarını ve içerik menülerini engellemek gibi temel hata ayıklama önleme yoluyla tespitten kaçındığını gösteriyor.
Tykit’in akışı, devam etmek için herhangi bir girişi kabul eden sahte bir “telefon numarası kontrolü” başlatan bir SVG ile başlar.
İşlem, sizi botları engellemek için Cloudflare Turnikesini kullanan bir CAPTCHA sayfasına göndererek başlar. Bundan sonra Microsoft 365’e benzeyen bir sayfa yükler. Arka planda, oturum anahtarlarını ve yönlendirmeleri içeren JSON verilerini kullanarak e-postaları kontrol eder.
Kimlik bilgisi girişi üzerine, gizlenmiş JavaScript, orijinallik için süresi dolmuş JWT belirteçleri de dahil olmak üzere verileri /api/login’e sızdırır.
Sunucu yanıtları sonuçları belirler: başarı HTML’yi hırsızlığı maskeleyecek şekilde işler, hatalar “yanlış şifre” istemlerini gösterir ve “bilgi” durumu /x.php’ye giriş yapılmasını tetikler. Bu ortadaki rakip (AitM) kurulumu, temel MFA’yı atlayarak e-postaları, şifreleri ve JSON formatındaki belirteçleri çalar.
Siber tehditler, başta ABD, Kanada, LATAM, EMEA, Güneydoğu Asya ve Orta Doğu olmak üzere inşaat, BT, finans, hükümet, telekomünikasyon, emlak ve eğitim gibi çeşitli sektörleri vuruyor.
Uzlaşmalar, hesapların ele geçirilmesine, SaaS uygulamalarından veri sızmasına ve yatay hareketlere olanak tanıyarak düzenleyici cezalar ve güven erozyonu riskini doğurur.
Buna karşı koymak için kuruluşların SVG içeriğini korumalı alan oluşturma ve içerik silahsızlandırma yoluyla denetlemesi, FIDO2 gibi kimlik avına karşı dayanıklı MFA’yı benimsemesi ve eval() çağrıları, Base64 parametreleri ve şüpheli alanlar gibi IOC’leri izlemesi gerekir.
/api/validate kalıplarına yönelik SIEM kuralları, anormal “görüntüler” konusunda kullanıcı eğitimiyle birleştiğinde kampanyaları erkenden aksatabilir. Kimlik avı geliştikçe Tykit, bu “tipik” ancak etkili kitlerin önünde kalabilmek için proaktif tehdit avcılığının gerekliliğinin altını çiziyor.
Gerçek zamanlı Siber Tehditlerden Yeni IOC’lerle Tehdit Kapsamınızı Genişletin => Şimdi Deneyin
