AccountDumpling Kimlik Avı Kampanyası
Vietnam bağlantılı bir tehdit grubuna atfedilen ve AccountDumpling olarak adlandırılan büyük ölçekli bir siber suç kampanyasının, Google AppSheet'i kimlik avı aktarım mekanizması olarak kullandığı tespit edildi. Bu operasyon, özellikle işletme kullanıcılarıyla ilişkili Facebook hesaplarını ele geçirmeyi amaçlayan aldatıcı e-postalar dağıtıyor.
Geleneksel kimlik avı kampanyalarının aksine, bu statik bir araç seti değil, dinamik ve sürekli gelişen bir ekosistemdir. Gerçek zamanlı operatör kontrol panelleri, gelişmiş kaçınma teknikleri ve yapılandırılmış bir para kazanma hattı içerir. Çalınan hesaplar, saldırganlar tarafından kontrol edilen yeraltı bir pazara geri yönlendirilerek kendi kendini sürdüren bir suç döngüsü oluşturur. Bu kampanya kapsamında yaklaşık 30.000 Facebook hesabı ele geçirilmiştir.
İçindekiler
Güveni Silah Olarak Kullanmak: E-posta Gönderimi İçin Google AppSheet’i İstismar Etmek
Saldırı zinciri, Meta Destek ekibini taklit eden özenle hazırlanmış kimlik avı e-postalarıyla başlıyor. Bu mesajlar, Facebook İşletme hesabı sahiplerini hedef alarak, acil önlem alınmadığı takdirde hesaplarının silineceği konusunda uyarıyor. Mağdurlardan, e-postaya yerleştirilmiş bağlantılar aracılığıyla itirazda bulunmaları isteniyor.
Kampanyanın etkinliğindeki en önemli faktörlerden biri, meşru altyapının kullanılmasıdır. E-postalar, birçok geleneksel spam ve güvenlik filtresini atlatmalarını sağlayan bir Google AppSheet adresinden ('noreply@appsheet.com') gönderilmektedir. Bu taktik, güvenilirliği artırır ve kullanıcı etkileşim olasılığını yükseltir.
Bu mesajlarda verilen aciliyet, alıcıları hassas kimlik bilgilerini ele geçirmek için tasarlanmış sahte web sitelerine yönlendiriyor. Daha önceki kampanyalarda da benzer saldırı modelleri gözlemlenmiş olup, bu durum başarılı tekniklerin sürekli olarak geliştirildiğini ve yeniden kullanıldığını göstermektedir.
Psikolojik Manipülasyon: 'Meta Panik'in Mühendisliği
Saldırganlar, panik yaratmak ve kullanıcıları hızlı tepki vermeye zorlamak için çeşitli sosyal mühendislik tuzakları kullanıyor. Bu tuzaklar, meşru Meta iletişimlerini taklit etmek ve korkuya dayalı senaryoları istismar etmek üzere stratejik olarak tasarlanmıştır.
Başlıca yem kategorileri şunlardır:
Hesapla ilgili tehditler : Hesap askıya alınması, telif hakkı ihlali veya acil doğrulama gereksinimleri iddiaları.
Güvenlik uyarıları : Şüpheli oturum açma işlemleri veya zorunlu güvenlik kontrolleri hakkında bildirimler.
İş ve statü teşvikleri : Mavi rozet doğrulama teklifleri veya üst düzey yönetici işe alım fırsatları
Kurumsal taklit : Güven oluşturmak ve etkileşimi başlatmak için tanınmış markalardan gelen sahte iş teklifleri.
Her bir yem, kullanıcı davranışını manipüle etmek ve kimlik bilgilerinin ifşa edilme olasılığını artırmak için özel olarak tasarlanmıştır.
Çok Kanallı Kimlik Avı Altyapısı: Çeşitli Dağıtım Mekanizmaları
Kampanya, veri toplama ve sızdırmada belirli bir rol oynayan çok sayıda barındırma platformu ve dağıtım yönteminin kullanımıyla karakterize edilir. Dört ana saldırı kümesi şunlardır:
- Netlify tarafından barındırılan kimlik avı sayfaları: Giriş bilgilerini, kişisel verileri ve devlet tarafından verilen kimlik belgelerini ele geçirmek için tasarlanmış sahte Facebook Yardım Merkezi portalları. Toplanan veriler, saldırgan tarafından kontrol edilen Telegram kanallarına iletilir.
- Vercel tarafından barındırılan 'Güvenlik Kontrolü' sayfaları: Bu sayfalar Meta gizlilik veya güvenlik portallarını simüle eder ve sahte CAPTCHA doğrulama soruları içerir. Kurbanlardan kimlik bilgilerini yeniden girmeleri ve iki faktörlü kimlik doğrulama (2FA) kodları vermeleri istenir; bunların tümü gerçek zamanlı olarak dışarı sızdırılır.
- Google Drive'da barındırılan PDF tuzakları: Resmi doğrulama talimatları gibi görünen bu belgeler, kullanıcıları şifreleri, 2FA kodlarını, kimlik fotoğraflarını ve hatta tarayıcı ekran görüntülerini gömülü komut dosyaları kullanarak toplayan kimlik avı sayfalarına yönlendirir.
- Sahte işe alım süreçleri: Güvenilirlik sağlamak için büyük şirketlerin kimliğine bürünme, ardından daha fazla etkileşim ve veri toplama için kötü amaçlı platformlara yönlendirme.
Bu kümelenmelerle bağlantılı Telegram kanalları toplu olarak yaklaşık 30.000 mağdur kaydı içeriyor. Etkilenen kişiler ağırlıklı olarak Kuzey Amerika, Avrupa, Asya ve Avustralya'da bulunuyor ve birçoğu hesaplarına erişimini kaybetti.
Atıf Analizi: Kampanyanın Arkasındaki Aktörlerin İzini Sürmek
Ücretsiz bir Canva hesabı üzerinden oluşturulan kimlik avı PDF dosyalarına gömülü meta verilerden kritik bir kaynak belirleme kanıtı ortaya çıktı. Dosyalarda yazar olarak 'PHẠM TÀI TÂN' ifadesi yer alıyor ve bu da operasyondan potansiyel olarak sorumlu olan kişiye doğrudan bir bağlantı sağlıyor.
Açık kaynaklı istihbarat, dijital pazarlama hizmetlerini tanıtan 'phamtaitan.vn' adlı bir web sitesini ortaya çıkardı. Bu kuruluşla ilgili kamuoyu açıklamaları, pazarlama kaynaklarına ve stratejik danışmanlığa odaklanıldığını gösteriyor; bu da hem meşru hem de kötü amaçlı kullanılabilecek çift yönlü bir beceri setine işaret ediyor.
Yeraltı Ekonomisi: Ele Geçirilmiş Dijital Kimliklerin Paraya Dönüştürülmesi
Bu kampanya, siber suçlardaki daha geniş bir eğilimi, yani dijital kimliklerin metalaştırılmasını gözler önüne seriyor. Ele geçirilen Facebook hesapları sadece birer uç nokta değil, gelişen bir yeraltı pazarında değerli varlıklar haline geliyor.
Saldırganlar, iş ortaklığı, reklam geçmişi ve kurtarma potansiyeli gibi faktörlere dayanarak hesaplara erişim elde ediyor. Bu operasyon, Google AppSheet, Netlify, Vercel ve diğerleri gibi güvenilir platformların, dağıtım, barındırma ve para kazanma için altyapı katmanları olarak nasıl yeniden kullanıldığını gösteriyor.
AccountDumpling kampanyası, modern tehdit aktörlerinin sosyal mühendisliği, bulut hizmetlerini ve yeraltı ekonomisini nasıl bütünleşik ve ölçeklenebilir bir siber suç girişimine entegre ettiğinin açık bir örneğini teşkil etmektedir.
