Siber güvenlik firması Fortra, Microsoft Office 365 kullanıcılarını hedef alan gelişmiş bir kimlik avı (phishing) saldırısını ortaya çıkardı. Saldırının dikkat çeken yönü, Advanced Encryption Standard (AES) şifreleme yöntemiyle gizlenmiş zararlı bir eklenti dosyasının, npm (Node Package Manager) paketi üzerinden sahte bir oturum açma sayfasına yönlendirme yapması oldu.
Fortra’nın 20 Mayıs’ta yayımladığı “Threat Analysis: Malicious NPM Package Leveraged in O365 Phishing Attack” başlıklı rapor, geleneksel yöntemlerin ötesine geçen yeni nesil bir saldırı senaryosunu gözler önüne serdi. Rapora göre saldırganlar, Microsoft Office 365 kullanıcılarının giriş bilgilerini çalmak amacıyla bir dizi modern teknolojiyi bir arada kullanarak güvenlik önlemlerini atlatmayı başardı.
Trafik Şüphe Çekmiyor
Saldırı, DocuSign’dan gelmiş gibi görünen sahte bir e-posta ile başlıyor. E-posta ekinde bulunan .htm uzantılı dosya, açıldığında kullanıcının cihazı üzerinden bir içerik dağıtım ağına (CDN – Content Delivery Network) bağlanarak zararlı bir yazılım paketini çalıştırıyor. CDN’ler, genellikle internet içeriklerini hızlı ulaştırmak için kullanılan yasal altyapılar olduğundan bu trafik kolayca şüphe çekmiyor.
Dosyanın içinde yer alan zararlı kod ise, AES şifreleme ile gizlenmiş. AES, çoğunlukla devlet kurumları ve finans kuruluşları tarafından tercih edilen, oldukça güçlü ve güvenilir bir şifreleme algoritması olarak biliniyor. Bu saldırıda ise şifreleme, zararlı kodun gizlenmesi ve güvenlik yazılımlarından saklanması amacıyla kullanılmış.
Dosya açıldığında, şifreli içerik çözülüyor ve kullanıcıyı zararlı bir npm paketi aracılığıyla sahte bir Microsoft 365 giriş sayfasına yönlendiriyor. Bu sahte sayfaya bilgi giren kullanıcıların kimlik bilgileri doğrudan saldırganların eline geçiyor.
Fortra Araştırmacısı: İlk Kez Aynı Anda Kullanılıyor
Fortra araştırmacısı Israel Cerda, saldırının teknik açıdan dikkat çekici olduğunu belirtti. Cerda, AES şifreleme, CDN kullanımı ve npm paketi üzerinden zararlı yazılım ile yönlendirme tekniklerinin her birinin daha önce ayrı ayrı kullanıldığını, ancak bu saldırıda ilk kez hepsinin aynı zincir içinde kullanıldığını vurguladı.
“Dosyada hiçbir gizleme tekniği yokmuş gibi görünüyor ama aslında içerik AES ile şifrelenmiş. CDN trafiği sayesinde normal gibi görünüyor ve npm paketi üzerinden zararlı kod çalıştırılıyor. Bu kadar iyi kamufle edilmiş bir saldırı, tespit sistemleri için ciddi bir zorluk teşkil ediyor.” — Israel Cerda, Fortra
Altyapı Devre Dışı Bırakıldı Ancak Tehdit Bitmiş Değil
Raporda belirtilene göre, saldırının altyapısında kullanılan npm paketi ve CDN bağlantıları şu an çevrimdışı durumda. Yani saldırı aktif değil. Ancak Fortra uzmanları, bu tür tekniklerin yeniden kullanılabileceğine ve hatta daha da geliştirilerek tekrar sahaya sürülebileceğine dikkat çekiyor.
Cerda’ya göre, saldırının şu an yaygın olmaması, ya engellendiğini ya da hala keşfedilmediğini gösteriyor olabilir. Öte yandan bu tür “niş saldırıların” potansiyel olarak büyük riskler barındırdığı da belirtiliyor.
Uzmanlardan Güvenlik Uyarısı
Fortra, güvenlik ekiplerine özellikle şu uyarılarda bulunuyor:
- E-postalarda gelen .htm uzantılı dosyalar dikkatle incelenmeli.
- Şifrelenmiş içerik taşıyan dosyalar normalden farklı davranışlar gösteriyorsa izlenmeli.
- npm paketlerinin içerikleri, özellikle CDN üzerinden çağrılanlar, güvenlik açısından analiz edilmeli.
Ayrıca raporda saldırıya dair IOC (Indicators of Compromise – Tehdit Göstergeleri) ve teknik detaylar da paylaşılıyor.
Leave a Comment