Saldırının Genel Çerçevesi
Starkiller adlı kimlik avı aracı, çok faktörlü kimlik doğrulama (MFA) korumalarını aşmak için meşru giriş sayfalarını ters proxy yöntemiyle proxy ediyor. Jinkusu adlı tehdit grubu tarafından geliştirilen bu araç, kullanıcıların gerçek markaların URL’lerini girmesine veya taklit edilecek marka seçmesine olanak tanıyan bir kontrol paneli sunuyor. Ayrıca, “login,” “verify,” “security” gibi anahtar kelimelerle hedef URL’yi gizlemek için TinyURL gibi URL kısaltıcılarıyla entegre çalışıyor.
Docker konteyneri içinde headless Chrome kullanarak gerçek web sitesini yükleyen Starkiller, kullanıcıların giriş bilgilerini doğrudan gerçek siteye ileterek kimlik avı sayfasının güncel kalmasını sağlıyor. Bu yöntem, klasik kimlik avı sayfası şablonlarının güncellenme ihtiyacını ortadan kaldırıyor ve güvenlik çözümlerinin tespitini zorlaştırıyor.
Gelişmiş Kimlik Avı Teknikleri ve Hedefler
2025 yılında ortaya çıkan 1Phish kitinin yeni versiyonu, ön kimlik avı parmak izi, tek kullanımlık şifreler (OTP) ve kurtarma kodları yakalama gibi çok aşamalı kimlik avı tekniklerini destekliyor. Botları filtrelemek için tarayıcı parmak izi mantığı da içeren bu kit, dönüşüm oranlarını artırmak ve otomatik analizleri azaltmak amacıyla sürekli güncelleniyor.
Öte yandan, Microsoft 365 hesaplarını hedef alan bir kimlik avı kampanyası, OAuth 2.0 cihaz yetkilendirme akışını kötüye kullanarak MFA korumasını aşabiliyor. Saldırganlar, Microsoft OAuth uygulamasına kayıt olup benzersiz bir cihaz kodu oluşturuyor ve bu kodu kurbana gönderiyor. Kurban, meşru microsoft.com/devicelogin portalına yönlendirilerek cihaz kodunu giriyor ve böylece saldırgana geçerli bir OAuth erişim belirteci sağlanıyor. Bu belirteçler, kurbanın Microsoft 365 hesaplarına kalıcı erişim imkanı veriyor.
Hangi Sistemler Risk Altında?
Bu kimlik avı taktikleri özellikle Kuzey Amerika’daki finans kurumları, kredi birlikleri ve kurumsal Microsoft 365 kullanıcılarını hedef alıyor. BlueVoyant araştırmacılarının belirttiğine göre, saldırganlar .co.com gibi alan adları kaydederek finans kurumlarının web sitelerini inandırıcı şekilde taklit ediyor. Bu alan adları, sahte Cloudflare CAPTCHA sayfaları ve Base64 kodlu betikler aracılığıyla kullanıcıları kimlik bilgisi toplama sayfalarına yönlendiriyor.
Saldırı Zinciri ve Teknik Detaylar
- Başlangıç: Hedefe yönelik kimlik avı e-postası gönderimi.
- Proxyleme: Starkiller ile gerçek siteyi ters proxy ederek MFA korumasını aşma.
- OAuth İstismarı: Microsoft OAuth cihaz yetkilendirme akışının kötüye kullanılması.
- Veri Toplama: Kullanıcı adı, parola, OTP ve kurtarma kodlarının ele geçirilmesi.
- Erişim: Elde edilen OAuth belirteçleriyle kurumsal hesaplara kalıcı erişim sağlanması.
Siber Güvenlik Ekipleri İçin Öneriler
- E-posta güvenliği çözümlerini güncel tutarak kimlik avı e-postalarını engelleyin.
- MFA uygulamalarında OAuth cihaz yetkilendirme akışlarını izleyin ve anormal aktiviteleri tespit edin.
- EDR ve SIEM sistemlerinde ters proxy ve OAuth tabanlı anormal oturum açma girişimlerini izleyin.
- URL kısaltıcıları ve sahte alan adları için DNS ve web trafiği analizleri yapın.
- Ağ segmentasyonu ile kritik sistemlere erişimi sınırlandırın.
- Kullanıcı eğitimleri ile kimlik avı farkındalığını artırın.
- Olay müdahale planlarını güncelleyerek bu tür saldırı senaryolarına hazırlıklı olun.
- IAM politikalarında cihaz kayıt ve yetkilendirme süreçlerini sıkılaştırın.
Kurumsal Senaryo: Finans Kurumu Üzerinden Risk Analizi
Bir finans kurumu, müşterilerine ait hassas verileri korumak için MFA kullanmasına rağmen, Starkiller ve 1Phish gibi araçların ters proxy ve OAuth cihaz yetkilendirme akışı istismarları nedeniyle hesap ele geçirme riskiyle karşı karşıya kalabilir. Saldırganlar, sahte e-posta ve alan adlarıyla müşterileri sahte giriş sayfalarına yönlendirerek kimlik bilgilerini ve OTP’leri toplayabilir. Bu sayede, kurumun kritik finansal verilerine ve müşteri hesaplarına yetkisiz erişim sağlanabilir. Bu durum, kurumun itibar kaybı ve yasal yaptırımlarla karşılaşmasına yol açabilir.