İngiltere Ulusal Siber Güvenlik Merkezi (NCSC) Perşembe günü, bilgi toplama operasyonları için Rus ve İran devlet destekli aktörler tarafından düzenlenen mızraklı kimlik avı saldırıları konusunda uyarıda bulundu.
NCSC, “Saldırılar genel halkı değil, akademi, savunma, hükümet kuruluşları, STK’lar, düşünce kuruluşları, politikacılar, gazeteciler ve aktivistler dahil olmak üzere belirli sektörlerdeki hedefleri hedefliyor.” dedim.
Ajans izinsiz girişleri SEABORGIUM (namı diğer Callisto, COLDRIVER ve TA446) ve APT42’ye (aka ITG18, TA453 ve Yellow Garuda) bağladı. Yöntemlerdeki benzerlikler bir yana, iki grubun birbiriyle işbirliği yaptığına dair bir kanıt yok.
Faaliyet, hedef odaklı kimlik avı kampanyalarının tipik bir örneğidir; burada tehdit aktörleri, hedeflere göre uyarlanmış mesajlar gönderirken aynı zamanda ilgi alanlarını araştırmak ve sosyal ve profesyonel çevrelerini belirlemek için yeterli zaman ayırır.
İlk temas, onların güvenini kazanma girişiminde zararsız görünecek şekilde tasarlanmıştır ve istismar aşamasına geçmeden önce haftalarca sürebilir. Bu, veri hırsızlığı da dahil olmak üzere, kimlik bilgilerinin çalınmasına ve ileriye yönelik uzlaşmaya yol açabilecek kötü niyetli bağlantılar biçimini alır.
Düşman ekiplerin, hileyi sürdürmek için sosyal medya platformlarında saha uzmanlarını ve gazetecileri taklit ederek kurbanları kandırarak bağlantıları açmaları için sahte profiller oluşturdukları söyleniyor.
Çalınan kimlik bilgileri daha sonra hedeflerin e-posta hesaplarında oturum açmak ve hassas bilgilere erişmek için kullanılır ve ayrıca kurban yazışmalarının sürekli görünürlüğünü sürdürmek için posta iletme kuralları ayarlanır.
Rus devlet destekli SEABORGIUM grubunun, kimlik bilgileri toplama saldırılarını gerçekleştirmek için meşru savunma şirketlerini ve nükleer araştırma laboratuvarlarını taklit eden sahte oturum açma sayfaları oluşturma geçmişi var.
İran İslam Devrim Muhafızları Ordusu’nun (IRGC) casusluk kolu olarak faaliyet gösteren APT42’nin, PHOSPHORUS ile örtüştüğü ve Charming Kitten olarak izlenen daha büyük bir grubun parçası olduğu söyleniyor.
SEABORGIUM gibi tehdit aktörlerinin, IRGC’nin değişen önceliklerini karşılamak için sürekli değişen araç ve taktik cephaneliğini kullanarak hedefleriyle etkileşime geçmek için gazeteci, araştırma enstitüsü ve düşünce kuruluşu kılığına girmesiyle biliniyor.
Kurumsal güvenlik firması Proofpoint, Aralık 2022’de, ifşa grubun “tıbbi araştırmacılardan emlakçılara ve seyahat acentelerine kadar çeşitli geçmişlere sahip hedeflerin peşine düşmek için güvenliği ihlal edilmiş hesapları, kötü amaçlı yazılımları ve çatışmalı cazibeleri kullanması”, bunu “beklenen kimlik avı faaliyetinden” bir sapma olarak adlandırıyor.
Ayrıca, bu kampanyaların dikkate değer bir yönü, muhtemelen kurumsal ağlarda uygulanan güvenlik kontrollerini atlatmak için hedeflerin kişisel e-posta adreslerinin kullanılmasıdır.
NCSC operasyon direktörü Paul Chichester, “Rusya ve İran merkezli tehdit aktörlerinin bu kampanyaları, çevrimiçi kimlik bilgilerini çalmak ve potansiyel olarak hassas sistemleri tehlikeye atmak amacıyla acımasızca hedeflerinin peşine düşmeye devam ediyor” dedi.