Google, ABD Hükümeti için çalışan “yüksek profilli” Gmail kullanıcılarını, potansiyel olarak Çin devlet destekli tehdit aktörleri tarafından bir oltalama saldırısı ile hedef alındıkları konusunda uyardı.
Google’ın Tehdit Analizi Grubu (TAG), “birden fazla” kişiyi, APT31’in (Yargı Panda ve Zirkonyum olarak da bilinir) hassas bilgilerinin peşinde olduğu ve e-posta hizmetlerinde kimlik avı saldırılarının başarıyla engellendiği konusunda uyardı.
Google Tehdit Analizi Grubu Direktörü Shane Huntley, “Şubat ayında, ABD hükümetine bağlı yüksek profilli Gmail kullanıcılarını hedef alan bir APT31 kimlik avı kampanyası tespit ettik” dedi.
Ukrayna ile bağlantılı değil
“Bugün, hedef alınan kişilere hükümet destekli saldırgan uyarıları gönderdik. Bu kampanyanın Ukrayna’daki mevcut savaşla ilgili olduğuna dair herhangi bir kanıtımız yok.”
TAG, bu haftanın başlarında, “yaygın” kimlik avı ve Dağıtılmış Hizmet Reddi (DDoS) saldırılarıyla Ukrayna ve Avrupa hükümetlerini ve askeri kuruluşların uç noktalarını hedef alan Rus, Belarus ve Çinli tehdit aktörleri konusunda da uyardı.
Huntley raporda, “Son iki hafta içinde TAG, FancyBear ve Ghostwriter dahil olmak üzere düzenli olarak izlediğimiz ve kolluk kuvvetleri tarafından iyi bilinen bir dizi tehdit aktörünün faaliyetlerini gözlemledi” dedi.
Huntley, saldırıların Ukrayna’daki durumla ilgisi olup olmadığını belirlemenin zor olduğunu da sözlerine ekledi.
2012’den beri Google, devlet destekli tehdit aktörleriyle bağlantılı olduğu bilinen altyapıyı kullanan saldırıları tespit ettiğinde, etkilenen müşterilere bildirimler gönderiyor.
BleeBilgisayar Google TAG güvenlik mühendisi Ajax Bash’in, şirketin geçen yıl bu uyarılardan yaklaşık 50.000’ini gönderdiğini duyurduğunu hatırlatıyor. Bu sayının neredeyse üçte biri (15.000) Rusya’nın Genelkurmay Ana İstihbarat Müdürlüğü (GRU) ile güçlü bağları olduğu iddia edilen bir tehdit aktörü olan APT28 ile bağlantılıydı.
APT31 en son manşetlere çıktığında, kimlik avı ile Rusya merkezli kuruluşları hedef aldığı tespit edildi ve ardından daha önce hiç görülmemiş kötü amaçlı yazılımları dağıtacaktı.
Positive Technologies’de Kıdemli Tehdit Analizi Uzmanı Daniil Koloskov, o sırada APT31’in kötü amaçlı yazılımı geliştirme ve dağıtma konusunda özellikle kurnaz olduğunu gözlemledi. Sadece çeşitli algılamadan kaçınma teknikleri kullanmakla kalmadı, aynı zamanda hedeflerine ulaştıktan sonra kendi kendini imha etti, oluşturduğu dosyaların ve kayıt defteri anahtarlarının tüm izlerini sildi.
“Kötü amaçlı kitaplığın orijinal sürüm gibi görünmesini sağlamak için, onu MSVCR100.dll olarak adlandırdılar; tam olarak aynı ada sahip kitaplık, Microsoft Visual Studio için Visual C++’ın bir parçasıdır ve neredeyse tüm bilgisayarlarda bulunur. Ayrıca, meşru MSVCR100.dll’de bulunabilecek isimleri dışa aktarma olarak içerir” dedi Koloskov.
Üzerinden: BleeBilgisayar