Google’ın Tehdit Analizi Grubu (TAG) Perşembe günü, Hindistan, Rusya ve BAE’den kiralık korsan grupları tarafından işletilen 36 kadar kötü amaçlı alanı engellemek için harekete geçtiğini açıkladı.
Gözetim yazılımı ekosistemine benzer bir şekilde, kiralık hack firmaları, müşterilerini, şirketlerin yanı sıra aktivistleri, gazetecileri, politikacıları ve diğer yüksek riskli kullanıcıları hedefleyen hedefli saldırılara olanak sağlayacak yeteneklerle donatıyor.
İkisinin farkı, müşteriler casus yazılımı ticari satıcılardan satın alıp kendileri dağıtırken, hack-for-hire saldırılarının arkasındaki operatörlerin, rollerini gizlemek için müşterilerinin adına izinsiz girişleri yürüttüğü biliniyor.
Google TAG direktörü Shane Huntley, “Kiralık hack ortamı, hem saldırganların kendilerini organize etme biçimleri hem de farklı müşterilerin emriyle tek bir kampanyada izledikleri çok çeşitli hedefler açısından değişkendir” dedi. söz konusu bir raporda.
“Bazı hack-for-kie saldırganları, ürünlerini ve hizmetlerini ödemeye istekli herkese açıkça tanıtırken, diğerleri daha ihtiyatlı bir şekilde sınırlı bir kitleye satış yapıyor.”
Hintli bir kiralık hack operatörü tarafından yakın zamanda düzenlenen bir kampanyanın, Kıbrıs’ta bir bilişim şirketini, Nijerya’da bir eğitim kurumunu, Balkanlar’da bir fintech şirketini ve İsrail’de bir alışveriş şirketini hedef aldığı ve kurbanların çokluğunu gösterdiği söyleniyor.
Google TAG’ın 2012’den beri izlediğini söylediği Hintli ekip, devlet kurumları, Amazon Web Hizmetleri (AWS) ve Gmail hesaplarıyla ilgili giriş bilgilerini toplamak amacıyla bir dizi kimlik avı saldırısıyla bağlantılı.
Kampanya, tıklandığında, şüpheli olmayan kullanıcılar tarafından girilen kimlik bilgilerini sifonlamak için tasarlanmış, saldırgan kontrollü bir kimlik avı sayfası başlatan sahte bir bağlantı içeren hedef odaklı kimlik avı e-postaları göndermeyi içerir. Hedefler arasında Suudi Arabistan, Birleşik Arap Emirlikleri ve Bahreyn’deki hükümet, sağlık ve telekom sektörleri yer aldı.
Google TAG, Hintli kiralık katilleri Rebsec adlı bir firmaya bağladı. Twitter hesabıİçin Kısa “İsyan Menkul Kıymetler” ve Amritsar şehrinde bulunuyor. Şirketin İnternet sitesiyazılı olarak “bakım” için aşağı, kurumsal casusluk hizmetleri sunduğunu da iddia ediyor.
Gazetecileri, Avrupalı politikacıları ve kâr amacı gütmeyen kuruluşları hedef alan benzer bir kimlik bilgisi hırsızlığı saldırısı, ilk olarak Kasım 2021’de Trend Micro tarafından belgelenen bir siber paralı asker grubu olan Void Balaur adlı bir Rus aktörle bağlantılıydı.
Son beş yılda, kolektifin Gmail, Hotmail ve Yahoo! ve abv.bg, mail.ru, inbox.lv ve UKR.net gibi bölgesel web posta sağlayıcıları.
Son olarak, TAG ayrıca BAE merkezli bir grubun faaliyetlerini detaylandırdı ve adı verilen bir uzaktan erişim truva atının orijinal geliştiricileriyle bağlantıları var. njRAT (diğer adıyla H-Solucan veya Houdini).
Kimlik avı saldırıları, daha önce ortaya çıktığı gibi Uluslararası Af Örgütü 2018’de, Orta Doğu ve Kuzey Afrika’daki hükümet, eğitim ve siyasi kuruluşlardaki hedeflerden kimlik bilgilerini çalmak için parola sıfırlama cazibesi kullanmayı gerektiriyor.
Hesap güvenliğinin aşılmasının ardından tehdit aktörü, Thunderbird gibi meşru bir e-posta uygulamasına bir OAuth belirteci vererek kalıcılığı korur. Uygulama Şifresi hesaba IMAP yoluyla erişmek veya kurbanın Gmail hesabını bir üçüncü taraf posta sağlayıcısında düşmana ait bir hesaba bağlamak için.
Bulgular, Google TAG’nin İtalya ve Kazakistan’daki Android ve iOS kullanıcılarını hedeflemek için “Hermit” hack aracı kullanan RCS Lab adlı bir İtalyan casus yazılım şirketinin ayrıntılarını açıklamasından bir hafta sonra geldi.