Rus ulus-devlet tehdit aktörü olarak bilinen APT28 HeadLace adı verilen özel bir arka kapının teslimini kolaylaştırmak için devam eden İsrail-Hamas savaşıyla ilgili yemlerden yararlanıldığı gözlemlendi.
IBM X-Force, BlueDelta, Fancy Bear, Forest Blizzard (eski adıyla Strontium), FROZENLAKE, Iron Twilight, Sednit, Sofacy ve TA422 olarak da bilinen ITG05 adı altında rakibini takip ediyor.
Güvenlik araştırmacıları Golo Mühr, Claire Zaboeva ve Joe Fasulo, “Yeni keşfedilen kampanya, dünya çapında en az 13 ülkedeki hedeflere yöneliktir ve akademik, finans ve diplomatik merkezler tarafından oluşturulan orijinal belgelerden yararlanmaktadır.” söz konusu.
“ITG05’in altyapısı, yalnızca belirli bir ülkedeki hedeflerin kötü amaçlı yazılımı alabilmesini sağlıyor, bu da kampanyanın oldukça hedefli yapısını gösteriyor.”
Kodu Kırmak: Siber Saldırganların İnsan Psikolojisinden Nasıl Yararlandığını Öğrenin
Sosyal mühendisliğin neden bu kadar etkili olduğunu hiç merak ettiniz mi? Yaklaşan web seminerimizde siber saldırganların psikolojisinin derinliklerine dalın.
Kampanyanın hedefleri arasında Macaristan, Türkiye, Avustralya, Polonya, Belçika, Ukrayna, Almanya, Azerbaycan, Suudi Arabistan, Kazakistan, İtalya, Letonya ve Romanya yer alıyor.
Kampanya, Birleşmiş Milletler, İsrail Bankası, ABD Kongre Araştırma Servisi, Avrupa Birliği ile ilişkili belgelerden yararlanarak, öncelikli olarak “insani yardım tahsisi üzerinde doğrudan etkisi olan” Avrupalı kuruluşları ayırmak için tasarlanmış tuzakların kullanılmasını içeriyor. Parlamento, Ukraynalı bir düşünce kuruluşu ve Azerbaycan-Belarus Hükümetlerarası Komisyonu.
Saldırılardan bazılarının, kritik altyapıyı hedef alan saldırılarda ilk kez Ukrayna Bilgisayar Acil Müdahale Ekibi (CERT-UA) tarafından ifşa edilen bir arka kapı olan HeadLace’i yaymak için CVE-2023-38831 adlı WinRAR kusurunu kullanan RAR arşivlerini kullandığı tespit edildi. ülkede.
Zscaler’in, Eylül 2023’ün sonlarında, yetişkinlere yönelik temalı içeriğe sahip hedefleri kandırıp hassas bilgilerden vazgeçmelerini sağlayan Steal-It adlı benzer bir kampanyayı ortaya çıkardığını belirtmekte fayda var.
Açıklama, Microsoft, Palo Alto Networks Unit 42 ve Proofpoint’in, tehdit aktörünün Microsoft Outlook’un (CVE-2023-23397, CVSS puanı: 9,8) kritik bir güvenlik açığından yararlanarak kurbanların hesaplarına yetkisiz erişim elde etmesinin ayrıntılandırılmasından bir hafta sonra geldi. Değişim sunucuları.
Bu nedenle, yem olarak resmi belgelere dayanılması, daha önce gözlemlenen faaliyetlerden bir sapmaya işaret etmektedir; bu, “ITG05’in, ortaya çıkan politika oluşturmayı etkileyen materyallerle etkileşimi teşvik edecek ilgi alanları olan benzersiz bir hedef kitleye artan vurgusunun göstergesidir.”
Araştırmacılar, “Küresel dış politika merkezlerinin herhangi bir kademesinden taviz verilmesinin, Uluslararası Topluluğun (IC) güvenlik ve insani yardım konusunda rekabet eden önceliklere yönelik yaklaşımını çevreleyen kritik dinamikler hakkında ileri düzeyde bilgi sahibi olarak yetkililerin çıkarlarına yardımcı olması kuvvetle muhtemeldir.” dedi.
Geliştirme CERT-UA olarak geliyor bağlantılı UAC-0050 olarak bilinen tehdit aktörü, Remcos RAT ve Meduza Stealer’ı kullanarak Ukrayna ve Polonya’ya yönelik e-posta tabanlı büyük bir kimlik avı saldırısı gerçekleştirdi.