Fransız güvenlik şirketinin yaptığı detaylı bir inceleme, yanlış yapılandırılmış bir sunucudan üç farklı Evilginx tabanlı kimlik avı kampanyasının ortaya çıkarılmasını sağladı. Bu operasyonlar, Microsoft 365 kullanıcılarını hedef alıyor ve özellikle kurumsal e-posta hesapları üzerinde yoğunlaşıyor.
Saldırının Genel Çerçevesi
Ortaya çıkan phishing kampanyaları, açık kaynaklı Evilginx proxy yazılımının farklı forklardan oluşturulmuş üç ayrı varyasyonu kullanılarak yürütülüyor. Bu araçlar, çok faktörlü kimlik doğrulamayı (MFA) aşmak için iki farklı yöntemle kurbanların oturum bilgilerini ele geçiriyor. Birinci yöntem, gerçek zamanlı oturumu proxy’leyerek; ikinci yöntem ise Microsoft’un OAuth cihaz kodu akışını kötüye kullanıyor.
Sunucu yapılandırmasındaki zayıflık sayesinde, saldırganların kimlik avı yapılandırmaları, kimlik bilgisi toplama günlükleri, uzaktan yönetim araçları ve yedek arşivler gibi kritik veriler açığa çıktı. Saldırılar, 2026 Nisan ayında Macaristan’daki bir IP adresinden tespit edildi ve kampanyalar halen aktif durumda.
Kimler Hedefte?
Yaklaşık bir yıldır süren bu saldırılarda hedeflenenler ağırlıklı olarak kurumsal Microsoft 365 kullanıcıları. Hem Avrupa hem Kuzey Amerika kaynaklı kurumsal e-posta hesapları ele geçirilmiş. Elde edilen oturum belirteçleri, güvenlik önlemlerini aşarak uzun süre geçerliliğini koruyabiliyor.
Saldırı Teknikleri ve Araçlar
İki farklı Evilginx varyantı, kimlik doğrulama sürecini manipüle etmek için özelleştirilmiş. Örneğin Nijeryalı bir aktörün geliştirdiği versiyon, HTML güvenlik kontrollerini atlatırken, kimlik avı sayfasında kullanıcı adresini otomatik dolduruyor ve çalınan oturum çerezlerini bir yıl boyunca geçerli kılabiliyor. Bu durum, parolanın sıfırlanmasından sonra bile oturumun aktif kalmasına yol açıyor.
Diğer yandan, Microsoft’un cihaz kodu akışını kullanan farklı bir varyant ise kullanıcının gerçek Microsoft sayfasında MFA’yı kendisinin tamamlamasını sağlıyor ancak arka planda saldırgan anında erişim sağlıyor. Bu yöntem aslında MFA’yı atlamıyor; kullanıcı aslında kendisi erişim onayı veriyor. Böylece fiziksel ya da yazılımsal ek güvenlik anahtarları bu saldırıya karşı etkisiz kalıyor.
Phishing Kitlerin Kaynağı ve Gelişim Süreci
Analizler, operasyonlardaki aktörlerin Evilginx temel kodunu doğrudan geliştirmediğini, GitHub üzerindeki açık kaynak kodları klonlayarak kendi ihtiyaçlarına göre uyarladıklarını gösteriyor. Üç farklı geliştirici tarafından yayımlanan varyantlar, farklı saldırgan grupların elinde şekillenmiş durumda.
Bu süreçte yapay zeka araçlarının da destek sağladığı gözlemleniyor. Bazı komut dosyaları ve kodlama kayıtlarında AI destekli kod üretimi izlerine rastlanmış. Ancak temel framework daha çok insan eliyle uyarlanmış, AI destek ise eklenti ve otomasyon aşamalarında kullanılmış.
Kurumsal Ortamlar İçin Riskler ve Öneriler
Bu tür saldırılar, özellikle Microsoft 365 kullanan kurumların MFA güvenlik katmanını aşabilmesi nedeniyle kritik bir tehdit oluşturuyor. Evilginx kaynaklı saldırılar, klasik phishing koruması ve standart MFA uygulamalarıyla engellenebilirken, cihaz kodu akışını kullanan varyant Conditional Access (Koşullu Erişim) politikaları olmadan tespit edilemiyor veya engellenemiyor.
Uzmanların önerileri arasında, cihaz kodu akışını mümkün olduğunca kısıtlamak, Koşullu Erişim politikalarını etkin şekilde kullanmak ve Continuous Access Evaluation (CAE) mekanizmasını devreye almak yer alıyor. Ayrıca, Microsoft Office istemcisi üzerinden gelen yenileme tokenlerinin hareketlerinin izlenmesi ve olağandışı IP adreslerinden gelen erişimlerin yakından takip edilmesi gerekiyor.
Teknik Özet: Saldırı Zinciri ve Savunma Yaklaşımları
- Evilginx proxy tabanlı kimlik avı kitleri (AiTM) kullanıldı.
- Hedef kitle: Kurumsal Microsoft 365 kullanıcıları, çoğunlukla Avrupa ve Kuzey Amerika.
- İki yöntem: Proxy ile canlı oturum çalma ve Microsoft OAuth cihaz kodu akışının sömürülmesi.
- Token yenileme mekanizması kullanılarak uzun süreli erişim sağlandı.
- Temel savunma: MFA’yı güçlendirmek, Koşullu Erişim politikalarını uygulamak, cihaz kodu akışını sınırlandırmak.
- RMM araçlarının keşfi ve endpointlerde izlenmesi önem taşıyor.
Güvenlik Ekipleri İçin Pratik Kontrol Listesi
- Microsoft Entra sign-in loglarında Office istemcisinin refresh token hareketlerini takip edin.
- Koşullu Erişim politikaları ile cihaz kodu akışını mümkün olduğunca kısıtlayın.
- Continuous Access Evaluation (CAE) özelliğini aktif hale getirin.
- Şüpheli IP’lerden gelen oturum açma denemelerini düzenli olarak kontrol edin.
- Endpointlerde RMM araçlarının kurulumunu ve çalışan süreçlerini denetleyin.
- Phishing simülasyonları ve farkındalık eğitimleri ile kullanıcıları bilinçlendirin.
- Log yönetimi ve SIEM çözümleri ile anormal erişim kalıplarını tespit edin.
- Yedekleme ve acil durum planlarını gözden geçirerek olası veri kayıplarına karşı hazırlıklı olun.
