Husi yanlısı olduğu düşünülen bir tehdit grubu, hassas bilgileri toplamak amacıyla tasarlanmış Android casus yazılımıyla Yemen’deki en az üç insani yardım kuruluşunu hedef aldı.
Bu saldırılar, kod adı verilen bir etkinlik kümesine atfediliyor YağAlfakendi destekleyici altyapısıyla gelen yeni bir kötü amaçlı mobil uygulama setini içerir, Recorded Future’ın Insikt Group söz konusu.
Devam eden kampanyanın hedefleri arasında CARE International, Norveç Mülteci Konseyi (NRC) ve Suudi Arabistan Kralı Selman İnsani Yardım ve Kurtarma Merkezi yer alıyor.
Siber güvenlik şirketi, “OilAlpha tehdit grubunun Yemen’de ve potansiyel olarak Orta Doğu’da faaliyet gösteren insani yardım ve insan hakları örgütlerine karşı büyük ihtimalle aktif olduğu ve hedefli faaliyetler yürüttüğü” ifadelerini kullandı.
OilAlpha ilk olarak Mayıs 2023’te Arap Yarımadası’ndaki kalkınma, insani yardım, medya ve sivil toplum kuruluşlarını hedef alan bir casusluk kampanyasıyla bağlantılı olarak belgelenmişti.
Bu saldırılar, WhatsApp’ı kullanarak kötü amaçlı Android APK dosyalarını UNICEF gibi meşru kuruluşlarla ilişkiliymiş gibi göstererek dağıttı ve sonuç olarak SpyNote (diğer adıyla SpyMax) adlı bir kötü amaçlı yazılımın dağıtımına yol açtı.
Haziran 2024’ün başlarında tanımlanan son dalga, insani yardım programlarıyla ilgili olduğunu iddia eden ve şu tür kuruluşlar gibi görünen uygulamalardan oluşuyor: CARE Uluslararası ve NRCHer ikisinin de Yemen’de aktif varlığı bulunmaktadır.
SpyMax trojanını barındıran bu uygulamalar kurulduktan sonra izinsiz izinler talep ediyor ve böylece kurbanın verilerinin çalınmasını kolaylaştırıyor.
OilAlpha’nın operasyonları ayrıca kullanıcıların oturum açma bilgilerini toplamak amacıyla bu kuruluşları taklit eden bir sürü sahte oturum açma sayfası kullanan bir kimlik bilgisi toplama bileşenini de içeriyor. Hedefin, etkilenen kuruluşlarla ilişkili hesaplara erişerek casusluk çabaları yürütmek olduğundan şüpheleniliyor.
Recorded Future, “Husi militanları, uluslararası insani yardımların hareketini ve dağıtımını sürekli olarak kısıtlamaya çalıştı ve yardım malzemelerini vergilendirip yeniden satarak kar elde etti” dedi.
“Gözlemlenen siber saldırıların olası açıklamalarından biri, yardımların kime ve nasıl ulaştırılacağını kontrol etme çabalarını kolaylaştırmak için istihbarat toplanması olabilir.”
Bu gelişme, Lookout’un, Yemen ve Orta Doğu’daki diğer ülkelerdeki hedeflere GuardZoo adlı bir Android veri toplama aracı gönderen başka bir gözetleme yazılımı operasyonuna Husi bağlantılı bir tehdit aktörünü dahil etmesinden haftalar sonra geldi.