ANY.RUN tarafından keşfedilen Salty2FA, çok faktörlü kimlik doğrulama (2FA) mekanizmalarını aşmak üzere tasarlanmış gelişmiş bir kimlik avı kitidir. ABD ve Avrupa Birliği’nde finans, enerji ve telekom gibi kritik sektörlerde faaliyet gösteren işletmeleri hedef alan bu tehdit, kimlik bilgileri ve 2FA kodlarını ele geçirerek hesapların doğrudan ele geçirilmesine olanak tanıyor.
Salty2FA’nın Teknik Özellikleri ve Tehlike Boyutu
Salty2FA, push bildirimleri, SMS ve sesli arama tabanlı 2FA yöntemlerini atlatabilme kabiliyetiyle öne çıkıyor. Çok aşamalı saldırı zinciri ve kaçak altyapısı sayesinde, kimlik avı e-postalarını yüksek etkili ihlallere dönüştürüyor. Bu özellikleriyle, Hizmet Olarak Kimlik Avı (PhaaS) alanında bu yılın en sofistike örneklerinden biri olarak değerlendiriliyor.
Hedef Bölgeler ve Sektörler
Analizler, Salty2FA’nın özellikle ABD ve AB ülkelerinde yoğunlaştığını gösteriyor. ABD’de finans, sağlık, devlet ve enerji gibi sektörler hedef alınırken; Avrupa’da telekomünikasyon, kimya ve endüstriyel üretim gibi alanlar ön planda. Ayrıca Hindistan, Kanada ve LATAM bölgelerinde lojistik ve metalurji sektörleri de risk altında bulunuyor.
Saldırı Zinciri ve Gerçek Dünya Örneği
Salty2FA saldırısı, aciliyet hissi uyandıran “Dış İnceleme Talebi: 2025 Ödeme Düzeltmesi” başlıklı e-postalarla başlıyor. Bu e-postalar, Cloudflare destekli sahte Microsoft giriş sayfalarına yönlendiriyor. Kullanıcıların girdiği kimlik bilgileri saldırgan sunuculara aktarılıyor ve 2FA kodları push, SMS veya sesli arama yoluyla yakalanıyor. ANY.RUN sandbox ortamında yapılan analizler, bu sürecin otomatik ve gerçek zamanlı olarak takip edilmesini sağlayarak SOC ekiplerinin müdahale süresini önemli ölçüde kısaltıyor.
SOC Ekipleri İçin Öneriler
Salty2FA gibi gelişmiş tehditlere karşı korunmak için davranışsal tespit yöntemlerine ağırlık verilmesi gerekiyor. Şüpheli e-postaların sandbox ortamında analiz edilmesi, MFA politikalarının güçlendirilmesi ve çalışanların finansal tuzaklar konusunda bilinçlendirilmesi kritik öneme sahip. Ayrıca, sandbox analiz sonuçlarının SIEM ve SOAR sistemlerine entegre edilmesi, tespit ve müdahale süreçlerini hızlandırıyor.
Etkin Savunma İçin ANY.RUN Sandbox Kullanımı
ANY.RUN gibi etkileşimli sandbox çözümleri, SOC ekiplerinin verimliliğini üç kat artırıyor ve soruşturma sürelerini yarı yarıya azaltıyor. Bu platformlar, tehdit görünürlüğünü %88 oranında artırarak, kimlik avı saldırılarının erken aşamada durdurulmasına olanak tanıyor.