Butcher Shop” phishing kampanyası, hukuk, hükümet ve inşaat sektörlerindeki firmaları hedef alıyor.

Önemli Noktalar
Obsidian araştırma ekibi, Microsoft 365 hesaplarını hedef alan ve hukuk, hükümet ve inşaat sektörlerini kapsayan yeni bir phishing kampanyası keşfetti. Bu kampanya, geleneksel phishing çözümlerinin algılayıp engellemesini zorlaştıran, e-posta yönlendirmeleri ve açık yönlendirme güvenlik açıklarının bir karışımını kullanıyor.

Araştırma ekibimiz, “Butcher Shop” (Evet, Butcher Shop) adı verilen yeni bir phishing kampanyasını keşfetti. Bu kampanya, hukuk, hükümet ve inşaat sektörlerini hedef alıyor.

Bu blog yazısında, bu kampanyanın nasıl çalıştığını, neden dikkat edilmesi gerektiğini ve kuruluşunuzu korumak için alabileceğiniz önlemleri açıklıyoruz.

Butcher Shop Nedir?

Butcher Shop, Eylül ayı başlarında ortaya çıktı ve öncelikle Microsoft 365 hesaplarını hedef alıyor. Saldırı, çeşitli kanallar üzerinden teslim edilen phishing bağlantılarına dayanıyor, bunlar arasında şunlar bulunuyor:

  • E-posta
  • Canva, Google AMP veya Dropbox’ın Docsend gibi platformlardan yönlendirme URL’leri
  • Ele geçirilmiş WordPress siteleri
  • Açık Yönlendirme güvenlik açığına sahip herhangi bir hizmet

Bir saldırgan, güvenilir bir alan adı (company.com) kullanarak kullanıcıları kötü niyetli bir siteye (evil.com) yönlendiriyor. Bu yönlendirmeler, meşru alan adlarının dahil olması nedeniyle geleneksel phishing çözümlerinin saldırıyı engellemesini zorlaştırıyor.

İlgili: Neden geleneksel korumaların yeterli olmadığı hakkında daha fazla bilgi için buraya göz atabilirsiniz.

Kampanya başladığından bu yana, bununla ilişkilendirilen 200’den fazla alan adı ve 400’den fazla benzersiz URL tespit ettik. Bu alan adları genellikle hukuk, hükümet ve inşaat gibi sektörleri taklit ediyor. Çoğu kısa ömürlü olup yalnızca birkaç gün var oluyor, bu da URL tabanlı engellemeyi etkisiz hale getiriyor.

Neden bu tür kampanyalar endişe verici?

Geleneksel e-posta güvenlik araçları, bu tür kampanyalarla başa çıkmakta zorluk çekiyor, çünkü kampanyalar çok katmanlı bir yaklaşım kullanıyor ve Cloudflare Turnstiles gibi meşru doğrulama yöntemleriyle çalışıyor. Saldırganlar yüzlerce alan adı arasında dönerken alan adı engellemek yeterli olmuyor ve MFA (Çok Faktörlü Kimlik Doğrulama) korumalarını aşmak, iyi korunmuş organizasyonları bile riske atabiliyor.

İlgili: Dikkat etmeniz gereken diğer önemli phishing kampanyaları.

Hukuk, hükümet ve inşaat sektörleri başlıca hedefler

Son birkaç hafta içinde, bu kampanyaya bağlı phishing sayfalarını inceledik ve çoğu alan adının hukuk, hükümet ve inşaat sektörleriyle bağlantılı olduğunu gördük, bu da bu sektörlerin ana hedefler olduğunu gösteriyor.

Bu yazının yayımlandığı tarihte, bu kampanyayla bağlantılı en yaygın alan adları aşağıda görülebilir.

brandlawdocs[.]combusinessinvocloud[.]comappforconstruction[.]com
federalbusinesslegal[.]cominvocdocs[.]comnorterc[.]com
invocelaw[.]compayrollservicesfederal[.]combusinesscloudapps[.]com
invoicingconstructionlaw[.]comappinvoices[.]cominvoicinglawyer[.]com
outlooklawyer[.]comdocfederal[.]combusinesslawsheets[.]com
lawforconstruction[.]comfederalapphub[.]comlawfinancelabel[.]com
legalservicesfederal[.]comkontra-werbetechnik[.]euconstructionfederal[.]com

Bu kampanyadaki phishing URL’leri tutarlı bir desen izliyor ve genellikle bir alt alan adı, ana alan adı, TLD (Üst Düzey Alan Adı) ve sonunda 5 haneli bir dizi içeriyor.

Kampanyanın Ana Özellikleri

Cloudflare Turnstiles Kullanımıyla Tespit Kaçırma
Phishing sayfası gösterilmeden önce, kullanıcıların gerçekten insan olup olmadığını doğrulamak için Cloudflare turnstiles (geçiş engelleri) içeren özel bir sayfa gösteriliyor. Bu turnstiles, e-posta koruma sistemlerinin, URL tarayıcıları gibi araçların phishing sitelerini tespit etmesini zorlaştırıyor.

Obsidian, genel phishing sitelerinin %77’sinden fazlasının Cloudflare üzerinde barındırıldığını ve bu kampanyaya bağlı sitelerin %99’undan fazlasının Cloudflare arkasında olduğunu tespit etti.

Web Sayfası Başlıkları ve İlgili Özellikler

Web sayfasının başlığı her yenilemede değişiyor. Başlıklar, botanik temalı bir desen izliyor ve ilk kelime bitki ile ilgili bir terim, ikinci kelime ise genellikle şu kelimelerden biri oluyor: Sprout, Leaf, Blossom, Tree, Onion, Flower veya Root. Bu, YewBlossom, RoseSprout veya FuchsiaLeaf gibi sayfa başlıklarına yol açıyor (bence oldukça hoş bir duygu yaratıyorlar, değil mi?).

Kötü Amaçlı Script, Kimlik Bilgilerini CDN Üzerinden Çalar

Phishing sayfası, Tencent Cloud’un CDN’si üzerinde barındırılan bootstrap.js adlı bir script aracılığıyla yükleniyor. Bu script, birkaç işlevi yerine getiriyor, bunlar arasında phishing sayfasını oluşturma, kimlik bilgilerini doğrulama ve çalma, ve saldırıdan sonra kullanıcıyı yönlendirme yer alıyor. Ayrıca, çalınan kimlik bilgilerinin son hedefine yönlendiren bir base64 kodlanmış URL içeriyor. Bootstrap script’i obfuscate (gizlenmiş) edilmiş olsa da, her phishing sayfası bu şablonu kullandığı sürece aynı kalıyor, tek farkı, kodlanmış komut ve kontrol (C2) bağlantısıdır.

  1. Rastgele Et Temalı Metin, Phishing Sayfası Koduna Gömülü

    Butcher Shop kampanyasının son özelliği, phishing sayfasının kodunda yorumlar içinde rastgele, et temalı lorem ipsum metinlerinin bulunması. Bu metin, Bacon Ipsum adlı bir hizmet tarafından üretilen içeriğe benziyor ve muhtemelen bu hizmetin API’si veya jQuery eklentisi kullanılarak oluşturulmuş.

  1. Kampanyanın Adım Adım Analizi

    Bu kampanya, gerçek bir giriş sürecini taklit edecek şekilde tasarlanmış olup, tespit edilmesini (ve durdurulmasını) son derece zorlaştırmaktadır. Adımlar şu şekildedir:

    1. Phishing E-postası: Bir phishing e-postası, kullanıcının gelen kutusuna gelir ve e-posta, phishing sayfasına yönlendiren bir URL içerir.
    2. Yönlendirme: E-posta içindeki URL, kullanıcıyı phishing sayfasına yönlendirir.
    3. Cloudflare Turnstiles: Phishing sayfası yüklenmeden önce, kullanıcıdan insan olduğunu doğrulayan bir Cloudflare turnstile sayfası gösterilir.
    4. Giriş Sayfası Taklidi: Kullanıcı, meşru bir giriş sayfası gibi görünen bir sayfaya yönlendirilir. Bu sayfa, genellikle Microsoft 365 veya diğer kurumsal platformlar için taklit edilir.
    5. Kimlik Bilgileri Çalınması: Kullanıcı giriş bilgilerini girer, ancak gerçek platforma değil, saldırganın kötü amaçlı sitesine gönderilir. Bootstrap.js gibi scriptler kullanılarak kimlik bilgileri toplanır.
    6. Yönlendirme ve Kimlik Bilgilerinin Çalınması: Giriş bilgileri çalındıktan sonra, kullanıcı saldırganın belirlediği hedefe yönlendirilir.

    Bu süreç, özellikle meşru ve güvenilir alan adları ve Cloudflare gibi güvenlik sistemleri kullanıldığında tespit edilmesini daha da zorlaştırır.

  2. Kampanyanın Adım Adım Devamı

    1. Cloudflare Turnstile’ının Temizlenmesi: Sunucu, kullanıcıdan geçmesi gereken Cloudflare turnstile’ı ile entegre bir sayfa sunar.
    2. Turnstile’ın Temizlenmesi Sonrası: Kullanıcı turnstile’ı geçtikten sonra, çeşitli JavaScript kütüphaneleri yüklenir ve phishing sayfası, Tencent Cloud’un CDN’sinde barındırılan bootstrap.min.js dosyası tarafından oluşturulur.
    3. E-posta Girişi ve Doğrulama: Kullanıcı e-posta adresini (manuel olarak veya otomatik doldurulmuş şekilde) girer. Phishing sayfası, e-posta doğrulaması yapmak için komut ve kontrol (C2) sunucusuyla iletişim kurar ve bir POST isteği gönderir.
    4. Geçerli E-posta Kontrolü: Eğer girilen e-posta geçerliyse, süreç devam eder ve kullanıcıya saldırganın hedefleri doğrultusunda daha fazla işlem yapılır.
  3. Kampanyanın Adım Adım Devamı (Devam)

    1. C2 Sunucusundan Yanıt: Phishing sayfası, C2 sunucusundan ek bilgilerle birlikte bir yanıt alır. Bu bilgiler, federasyon tabanlı Entra (kimlik hizmeti) ile uyumluluk gösterebilir veya şirketin giriş arka plan resmini içerebilir.
    2. Şifre İsteği: Bir sonraki adımda, kullanıcıdan şifre istenir. Şifre girildikten sonra, şifre Base64 formatında kodlanır ve C2 sunucusuna gönderilir.
    3. Microsoft’a Veri Gönderme: C2 sunucusu, kullanıcıya ait e-posta ve şifreyi Microsoft’a iletir. Ardından, eğer MFA (Çok Faktörlü Kimlik Doğrulama) gerekli değilse, kullanıcıyı yönlendirir; eğer MFA gerekiyorsa, ek istekler gönderilir.

    Bu aşama, kullanıcıların kimlik bilgilerini başarılı bir şekilde çalmayı amaçlayan oldukça sofistike bir yöntemdir. MFA korumaları olsa dahi, ek isteklerle bypass edilmesi sağlanabilir.

  4. MFA Gerekiyorsa Adımlar

    1. MFA Yöntemlerinin İletilmesi: Eğer MFA (Çok Faktörlü Kimlik Doğrulama) gerekiyorsa, C2 sunucusu, mevcut MFA yöntemlerini phishing sayfasına iletir.
    2. Kullanıcı Yöntem Seçimi: Kullanıcı, tercih ettiği MFA yöntemini seçer ve bu bilgi C2 sunucusuna gönderilir.
    3. MFA Tamamlama: Phishing sayfası, kullanıcıdan seçtiği MFA yöntemini tamamlamasını ister ve kullanıcı, bu doğrulama kodu veya token’ı girer.
    4. Kod veya Token Gönderimi: Kullanıcı, doğrulama kodunu veya token’ı girip tamamladıktan sonra, bu bilgi tekrar C2 sunucusuna gönderilir.

    Bu aşama, MFA kullanılarak daha güvenli görünen bir giriş sürecinin dahi bypass edilmesini sağlamak için kötü niyetli bir şekilde tasarlanmıştır.

    MFA Yöntemi Gönderimi ve HTML Gösterimi

    1. MFA Yönteminin C2 Sunucusuna Gönderilmesi: Kullanıcı, tercih ettiği MFA yöntemini seçtikten sonra, phishing sayfası bu bilgiyi C2 sunucusuna iletir.
    2. C2 Sunucusunun HTML Talimatları: C2 sunucusu, phishing sayfasına uygun HTML içeriğini göndermek için talimat verir. Bu, kullanıcının seçtiği MFA yöntemine göre uyarlanmış bir doğrulama ekranı olabilir (örneğin, SMS ile gönderilen bir kod ya da uygulama üzerinden gelen bir onay).

    Bu adım, kullanıcının MFA sürecini geçmesini sağlamak için doğru HTML içeriğini göstererek daha güvenilir görünmesini sağlar. Bu sayede, kullanıcı kendisini meşru bir doğrulama sürecine girmiş gibi hisseder.

    MFA Tamamlama ve Yönlendirme

    1. MFA Tamamlama ve Bilgilerin Gönderilmesi: Kullanıcı, seçtiği MFA yöntemini tamamladıktan sonra, doğrulama bilgileri tekrar C2 sunucusuna gönderilir.
    2. Oturum Doğrulaması ve Yönlendirme: C2 sunucusu, oturumun geçerliliğini doğrular. Eğer doğrulama başarılıysa, kullanıcıyı gerçek Microsoft 365 giriş sayfasına yönlendiren bir yönlendirme (redirect) gönderilir.

    Bu adımda, kullanıcı phishing saldırısının farkına varmadan işlemine devam eder ve kimlik bilgileri saldırgan tarafından başarıyla ele geçirilmiş olur.

Kampanya ile İlgili Daha Fazla Detay

Bu kampanyaya bağlı olarak bilinen iki giriş sayfası şablonu bulunmaktadır.

Birinci Şablon:
İlk şablon, Microsoft 365 giriş sayfasını andıran bir tasarıma sahiptir. Bu şablon, kullanıcılara tanıdık gelen bir giriş ekranı sunarak, onların kimlik bilgilerini girmelerini sağlar. Bu sayfa, genellikle kurumsal Microsoft 365 hizmetlerine giriş yapmak isteyen kullanıcılara yönlendirilir, bu da kullanıcıları yanıltarak phishing saldırısının daha etkili olmasına neden olur.

İkinci Şablon

İkinci Şablon:
İkinci şablon, belirli bir hizmeti hedef alan bir phishing sayfası gibi görünmektedir. Bu örnekte, OneDrive şablonuna dayalı bir phishing sayfası yer almaktadır. Bu şablon, kampanyanın daha yeni bir versiyonudur ve Microsoft’un bulut depolama hizmeti olan OneDrive’a giriş yapmak isteyen kullanıcıları hedef alır. Kullanıcı, gerçek OneDrive giriş sayfasını ziyaret ettiğini zannederek kimlik bilgilerini bu sahte sayfaya girer, böylece saldırganların bilgileri toplaması sağlanır. Bu şablon, hedeflenen hizmetin görünümüne daha yakın olduğu için kullanıcıları yanıltmakta daha etkili olabilir.

Şablonların Etkisi ve C2 Sunucu Yapısı

Şablonların Gerçekçi Görünümü:
Her iki şablon da meşru Microsoft giriş sayfalarına çok yakın bir şekilde tasarlanmıştır. Bu, sıradan bir kullanıcının phishing sitesine düşmesini engellemeyi zorlaştırır, çünkü sayfa, Microsoft’un gerçek giriş sayfalarına benzer şekilde görünüyor. Kullanıcı, normal bir işlem yapıyormuş gibi hissettiğinden, şifrelerini ve diğer hassas bilgilerini güvenle girebilir.

C2 Sunucu Yapısının Keşfi:
C2 URL’leri daha detaylı incelendiğinde, bir dizi alt alan adı içeren bir dizinle karşılaşılabilir. Her bir alt alan adı, muhtemelen C2 sunucusunun bir alıcı noktasıdır. Bu alt alan adları, phishing sürecindeki farklı aşamalarda verilerin toplanması ve iletilmesi için kullanılan adresler olabilir. Bu yöntem, saldırganların tek bir hedef yerine birden fazla iletişim noktası kullanarak izlemeyi zorlaştırmasına yardımcı olur.

Erişim Durumu ve Cloudflare Turnstile

Bağlantılara erişmeye çalıştığınızda, kırık bir Cloudflare turnstile’ı ile karşılaşırsınız. Bu durum, turnstile’ın düzgün çalışmadığı veya geçici olarak devre dışı bırakıldığı anlamına gelebilir. Saldırganlar, bu tür teknik hataları bazen geçici olarak kullanarak sayfanın erişilebilirliğini artırabilir veya güvenlik sistemlerini atlatabilir. Ancak, bu tarz bir kırık turnstile da, bazen daha fazla kullanıcıyı çekmek veya daha fazla bilgi toplamak için bilinçli olarak yerleştirilmiş olabilir.

Phishing ile Mücadele: Obsidian Çözümü

Phishing saldırıları giderek daha sofistike hale geldikçe, geleneksel güvenlik önlemleri, örneğin e-posta güvenlik geçitleri (ESG), bu tehditlerle başa çıkmak için artık yeterli olmuyor. Butcher Shop kampanyası, saldırganların bu tür savunmaları kolayca atlayarak kimlik bilgilerini çalabildiklerini gösteriyor. Bu yüzden, phishing koruması için daha gelişmiş ve çok katmanlı bir yaklaşım benimsemek gerekmektedir.

Obsidian platformu, yüzlerce phishing saldırısını engellemiş ve bunların arasında ESG’ler bulunan müşterilere yönelik yapılan saldırıların %93’ünü ve herhangi bir uyarı tetiklemeden başarılı olan %15’lik bir kısmı da engellemiştir.

Daha fazla bilgi almak için, herhangi bir zamanda sorular sormak veya bir demo randevusu ayarlamak için bizimle iletişime geçebilirsiniz.

About The Author

Reply