Dünyanın dört bir yanından en az üç farklı gelişmiş kalıcı tehdit (APT) grubu, Mart 2022’nin ortalarında, devam eden Rus-Ukrayna savaşını kötü amaçlı yazılımları dağıtmak ve hassas bilgileri çalmak için bir yem olarak kullanarak hedef odaklı kimlik avı kampanyaları başlattı.
El Machete, Lyceum ve SideWinder tarafından yürütülen kampanyalar, Nikaragua, Venezuela, İsrail, Suudi Arabistan ve Pakistan’daki enerji, finans ve hükümet sektörleri dahil olmak üzere çeşitli sektörleri hedef aldı.
Check Point Research, “Saldırganlar, hedeflere ve bölgeye bağlı olarak resmi görünümlü belgelerden haber makalelerine ve hatta iş ilanlarına kadar çeşitli tuzaklar kullanıyor.” dedim bir raporda. “Bu cazibe belgelerinin çoğu, hedeflenen kuruluşlara ilk adım atmak için kötü amaçlı makrolar veya şablon enjeksiyonu kullanır ve ardından kötü amaçlı yazılım saldırıları başlatır.”
enfeksiyon zincirleri el palaKaspersky tarafından ilk olarak Ağustos 2014’te belgelenen İspanyolca konuşan bir tehdit aktörü olan , bir açık kaynaklı uzaktan erişim trojanını dağıtmak için makro bağlantılı sahte belgelerin kullanımını içeriyor. Loki.Rat bu, tuş vuruşlarını, kimlik bilgilerini ve pano verilerini toplamanın yanı sıra dosya işlemlerini gerçekleştirme ve isteğe bağlı komutları yürütme yeteneğine sahiptir.
İkinci bir kampanya, Lyceum olarak bilinen İranlı APT grubundan, Check Point’in birinci aşama .NET ve Golang damlalıklarını dağıtmak için “Ukrayna’daki Rus savaş suçları” hakkında sözde bir e-posta kullanarak bir kimlik avı saldırısı başlattığını söyledi. Uzak bir sunucudan alınan dosyaları çalıştırmak için arka kapı.
Diğer bir örnek ise, Hindistan’ın siyasi çıkarlarını desteklemek için faaliyet gösterdiği ve komşuları Çin ve komşuları üzerinde odaklandığı söylenen devlet destekli bir ekip olan SideWinder’dır. Pakistan. Bu durumda saldırı dizisi, bilgi çalan kötü amaçlı yazılımları dağıtmak için Microsoft Office’teki Denklem Düzenleyici kusurundan (CVE-2017-11882) yararlanan silahlı bir belge kullanır.
Bulgular, İran, Çin, Kuzey Kore ve Rusya’dan ulus devlet destekli tehdit gruplarının ve diğer çok sayıda suçlu ve mali güdümlü aktörün kimlik avında savaşla ilgili temalardan yararlandığını açıklayan Google’ın Tehdit Analizi Grubu’nun (TAG) benzer uyarılarını yansıtıyor. kampanyalar, çevrimiçi gasp girişimleri ve diğer kötü niyetli faaliyetler.
İsrailli şirket, “Halkın dikkati genellikle tek bir konu üzerinde uzun süre oyalanmasa da, Rusya-Ukrayna savaşı bariz bir istisnadır” dedi. “Bu savaş dünya çapında birden fazla bölgeyi etkiliyor ve potansiyel olarak geniş kapsamlı sonuçlara sahip. Sonuç olarak, APT tehdit aktörlerinin bu krizi casusluk amacıyla hedefli kimlik avı kampanyaları yürütmek için kullanmaya devam etmesini bekleyebiliriz.”
