Avrupa’da “Ghostwriter” adlı organize ve devam eden bir dezenformasyon kampanyasının Belarus merkezli operatörü, bir araştırmacının bir blog yazısında yöntemi vurgulamasından birkaç gün sonra Ukrayna’daki kuruluşları hedef almak için yeni, tespit edilmesi zor bir kimlik avı tekniği kullanıyor.
Tarayıcıda tarayıcı olarak adlandırılan yöntem, temel olarak, meşru bir etki alanının URL dahil tüm açılır oturum açma penceresinin kimliğine bürünmek için bir tarayıcı içinde bir tarayıcı penceresi çizen tehdit aktörünü içerir. URL yasal göründüğünden, kullanıcılar bu sahte hesap oturum açma pencerelerine geldiklerinde oturum açma ayrıntılarını girme konusunda aldanırlar.
Google’ın Tehdit Analizi Grubu’ndan (TAG) araştırmacılar, Ghostwriter’ın bu haftaki bir güncellemede, Ukrayna’daki savaşla ilgili veya onu bir cazibe olarak kullanan çok sayıda tehdit aktöründen gözlemlediği son kötü niyetli faaliyetler hakkında yeni taktiği kullandığını vurguladı.
Bir blog yazısında, TAG’den bir araştırmacı, grubun şunları gözlemlediğini söyledi: Ghostwriter operatörü Son günlerde, tarayıcıda tarayıcı taktiğinin kullanımını, güvenliği ihlal edilmiş sitelerde kimlik avı sayfalarını barındırmak için kullandığı önceki bir numarayla birleştiriyor. Araştırmacı, tarayıcıda tarayıcı taktiğini, grubun daha önce kimlik avı kampanyalarında sessizce kullanan birden fazla devlet destekli aktörü gözlemlediği bir şey olarak tanımladı.
Bugcrowd’un kurucusu ve CTO’su Casey Ellis, Ghostwriter operatörünün yeni tarayıcı kimlik avı tekniğini kullanmasının, genellikle tartışılmayan bir tehdit dinamiğini vurguladığını söylüyor. “Saldırgan taktiklerinin daha fazla incelenmesi ve ardından bu taktiklerin paylaşılması, bu tekniklerin potansiyel izleyicisini genişletiyor” diyor.
Ukrayna Uyarıları
Google’ın Ghostwriter güncellemesi, Ukrayna’nın Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) ve Mandiant gibi satıcılar da dahil olmak üzere diğerlerinden, tehdit grubunun Ukrayna askeri personeline ve diğer kişilere yönelik yaygın kimlik avı saldırılarına ilişkin son uyarıları takip ediyor. savaş.
Ghostwriter kampanyası, Google’ın son haftalarda izlediği Ukrayna’ya bağlı birkaç kampanyadan biri. TAG’ye göre, İran, Çin, Kuzey Kore ve Rusya’dan ulus devlet destekli tehdit aktörleri ve diğer çok sayıda suç ve mali güdümlü grup, kimlik avı kampanyalarında, çevrimiçi gasp girişimlerinde ve diğer kötü niyetli faaliyetlerde Ukrayna savaşıyla ilgili temaları kullanıyor. .
Saldırıların çoğu Ukrayna’daki kuruluşları hedef aldı. Ancak diğerleri, diğer birçok ülkedeki ABD sivil toplum kuruluşlarını (STK’lar) ve hükümet ve askeri kuruluşları da etkiledi. Bunların arasında, Çin Halk Kurtuluş Ordusu’nun stratejik destek gücüyle bağları olduğuna inanılan bir tehdit grubu olan “Curious Gorge” tarafından yürütülen bir kampanya da var. Google’a göre, son iki hafta içinde tehdit aktörünün Rusya, Ukrayna, Moğolistan ve Kazakistan’daki askeri ve devlet kurumlarına karşı kötü niyetli siber kampanyalar yürüttüğünü gözlemledi.
Diğer bir örnek, Google’ın kısa süre önce birden fazla ABD merkezli düşünce kuruluşunu, STK’ları, Ukrayna merkezli bir savunma yüklenicisini ve bir Balkanlar ulusunun ordusunu hedef alan bir kimlik avı kampanyası başlattığını söylediği Rus merkezli bir tehdit grubu olan Calisto, “Colddriver”. ,
Google TAG’nin en son güncellemesi, Ukrayna ile ilgili siber tehdit etkinliğine ilişkin bu ayki ikinci güncellemedir. 7 Mart’ta, TAG, yeni siber casusluk ve kimlik avı kampanyaları hakkında bir uyarı yayınladı Rusya’nın APT28/FancyBear, Belarus’un UNC1151/Ghostwriter ve Çin’in Mustang Panda gibi gruplardan gözlemlediğini söyledi.
Ellis, “Rusya-Ukrayna çatışması bir belirsizlik, yanlış bilgi ve genel olarak sorunlu İnternet etkinliği zemini yaratıyor,” diyor Ellis. Bu da ulus devletlerden meraklı bireylere kadar çeşitli potansiyel tehdit aktörlerini cesaretlendiriyor” dedi.