İsrail mühendislik ve telekomünikasyon şirketleri, ikna edici bir şekilde İsrail posta hizmetini taklit eden sürekli bir kimlik avı mesajı kampanyasıyla hedef alındı.
Algı Noktasına Göre Araştırma kimlik avı e-postasının genellikle bir HTML bağlantısı içeren kaçırılmış bir teslim notu gibi göründüğünü tespit etti. Tıklandığında, kullanıcının tarayıcısında bir .html dosya eki indirir ve açar. Bu html dosyası daha sonra, AsyncRAT kötü amaçlı yazılımının değiştirilmiş bir sürümünü indiren, karartılmış bir Visual Basic komut dosyası içeren bir ISO görüntü dosyasını açar.
İsrail Posta Şirketi’nin (“İsrail Postası” olarak da bilinir) logosunun kızıl geyik olması nedeniyle Kızıl Geyik Operasyonu olarak adlandırıldı – bu teknik ilk olarak Nisan 2022’de bir kampanyada kullanıldı, ancak geçen ay benzer bir kampanya kullanıldı. kullanılan kötü amaçlı yazılım sürümünün ve SSL sertifikasının aynı olduğu tespit edildi.
Sürekli Kimlik Avı Kampanyası
Etkinlik kümesindeki birkaç başka kampanya da tespit edildi; bunlardan biri geçen Haziran’da ve diğeri geçen Ekim’de Perception Point olay müdahale analisti Igal Lytzki’nin kimlik avı e-postalarının hacminin diğer günlere göre önemli ölçüde yüksek olduğunu söylediği yer.
Perception Point, kampanyayı “sürekli ve gizli bir operasyon” olarak adlandırdı ve hepsi İsrail’de bulunan, çeşitli sektörlerden çok sayıda kuruluşu hedef aldı.
Lytzki, “bu kampanyayla ilgili yüzlerce e-postanın” tespit edildiğini ve teslim edilmeden önce karantinaya alındığını ve bunların yalnızca yönetici ve liderlik pozisyonlarındaki çalışanlara değil, farklı pozisyonlardaki ve farklı kıdem seviyelerindeki çalışanlara yönlendirildiğini söylüyor.
Ayrıca, logo, renklerin korelasyonu ve postanenin çalışma saatleri hakkında ek bilgiler gibi unsurların eklenmesi de dahil olmak üzere yemlerin gerçek görünmesine gösterilen özenin dikkate değer olduğunu da sözlerine ekledi. “Bu, karmaşıklığın derinliğini ve bu saldırıya yapılan yatırımı ortaya çıkaran şaşırtıcı bir taktik,” diye belirtiyor.
Suçlu Kim?
Saldırılar şunlara bağlandı: Aggah tehdit grubu, kötü amaçlı yazılım seçimi, siparişle ilgili kimlik avı mesajları ve Losh Crypter tarafından gizlenmiş PowerShell betiklerinin kullanımı nedeniyle. Lytzki, Aggah için herhangi bir devlet desteği veya ulusal kimlik olduğuna dair net bir kanıt olmadığını, ancak Aggah’ın taktikleri, teknikleri ve prosedürleri (TTP’ler) ile olarak bilinen başka bir tehdit grubu arasında çarpıcı bir benzerlik olduğunu söylüyor. Gorgon GrubuPakistan hükümeti altında devlet destekli bir grup.
“Aggah, casusluk, bilgi toplama ve mali kazanç için çeşitli ülkeleri hedef aldı. Kanıtların, bu bilgisayar korsanlığı grubunun kiralık olduğunu ve onlar adına kötü niyetli kampanyalar başlatmak için diğer hükümetlerle sözleşmeler yaptığını gösterdiğine inanıyorum.”
Ayrıca geçmişte, Aggah öncelikle Orta Doğu ülkelerindeki kuruluşlara odaklanan saldırılar düzenledi. Bu arada Gorgon Group, yalnızca mali dolandırıcılık ve siber suçlara odaklanmakla kalmıyor, aynı zamanda devlet kuruluşlarına yönelik saldırılar da yürütüyor ve Rusya, İspanya, Birleşik Krallık ve Amerika Birleşik Devletleri’ne yönelik saldırılarla bağlantılı.