Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), Rus ve İranlı hacker grupları tarafından gerçekleştirilen sürekli siber saldırılara ilişkin bir uyarı yayınladı.
Raporuna göre SEABORGIUM (AKA: Callisto Group/TA446/COLDRIVER/TAG-53) ve TA453 (AKA: APT42/Charming Kitten/Yellow Garuda/ITG18) istihbarat toplamak amacıyla kurumları ve bireyleri hedef alan hedefli kimlik avı teknikleri kullanıyor.
İki grup gizli anlaşma içinde görünmese de, geçen yıl savunma sektörü, devlet kurumları, STK’lar ve akademi ile politikacılar, gazeteciler ve aktivistler gibi bireyler de dahil olmak üzere aynı türden kuruluşlara ayrı ayrı saldırıyorlar.
Uzun oyun oynamak
Spear-phishing, tehdit aktörlerinin kurbanlarının özellikle ilgisini çeken bilgilere sahipmiş gibi davrandıkları, sosyal medya profilleri ve profesyonel ağ platformları gibi ücretsiz olarak mevcut kaynakları kullanarak araştırdıkları, ilgi alanlarını keşfettikleri ve daha gelişmiş bir kimlik avı tekniğidir. Tanıdıkları kişilerin kimlikleri.
Hatta her iki grup da hedeflerinin bilinen bağlantılarını, kendi alanlarındaki uzmanları ve onları cezbetmek için gazetecileri taklit etmek için sahte sosyal medya profilleri oluşturmaya ve sahte etkinlik davetleri oluşturmaya kadar gitti.
SEABORGIUM ve TA453, güvenlerini kazanmak için hedefleri ile bir ilişki kurmaya çalıştıklarından, genellikle ilk başta zararsız bir temas vardır. NCSC, bunun uzun bir süre sürebileceğini belirtiyor.
Bunu yaptıktan sonra, genellikle bir web adresi biçiminde veya Microsoft One Drive veya Google Drive gibi platformlardan paylaşılan bir belgeye gömülü kötü amaçlı bir bağlantı dağıtırlar.
NCSC, “bir durumda, [TA453] hatta arama sırasında sohbet çubuğundaki kötü amaçlı URL’yi paylaşmak için hedefle bir Zoom araması ayarlayın.” Cepheyi güçlendirmek amacıyla tek bir kimlik avı saldırısında birden çok sahte karakterin kullanıldığı da bildirildi.
Bu bağlantıların izlenmesi genellikle kurbanı saldırganlar tarafından kontrol edilen sahte bir oturum açma sayfasına götürür ve kimlik bilgilerini girdikten sonra saldırganlar tarafından çalınır. Bunlarla, saldırganlar daha sonra kurbanlarının e-posta hesaplarında oturum açarak e-postaları, ekleri çalar ve ayrıca kurbanlarını sürekli olarak gözetlemek için gelen e-postaları kendi hesaplarına iletir.
Dahası, sonraki saldırılarda daha fazla kurban bulmak ve süreci baştan başlatmak için güvenliği ihlal edilmiş e-posta hesabındaki kayıtlı kişileri kullanırlar.
Hem SEABORGIUM hem de TA453, hedeflerine ilk yaklaşırken sahte kimlikler oluşturmak için Outlook ve Gmail gibi yaygın e-posta sağlayıcılarının hesaplarını kullanır. Ayrıca görünüşte meşru kuruluşlar için sahte alan adları oluşturdular ve şu anda SEABORGIUM ile bağlantılı olduğu bilinenler, bir listede yayınlanmıştır. Microsoft Tehdit İstihbarat Merkezi (MSTIC) (yeni sekmede açılır).
Siber güvenlik firması Proofpoint, 2020’den beri İranlı TA453 grubunun peşinde ve büyük ölçüde NCSC ile aynı bulguları tekrarlıyor: “[TA453] kampanyalar, istismar edilmeye çalışılmadan önce, oyuncu tarafından oluşturulan hesaplardan haftalarca iyi niyetli sohbetlerle başlayabilir.”
Ayrıca grubun diğer hedefleri arasında tıbbi araştırmacılar, bir havacılık mühendisi, bir emlakçı ve seyahat acentelerinin de bulunduğunu belirttiler. Ayrıca şu uyarıyı da yaptılar:
“Uluslararası güvenlikle ilgili araştırmacılar, özellikle Ortadoğu çalışmaları veya nükleer güvenlik konusunda uzman olanlar, istenmeyen e-postalar alırken yüksek bir farkındalık duygusuna sahip olmalıdırlar. meşru bir muhabire aittir.”