Pakistan, Smishing Triad adlı tehdit aktörünün son hedefi haline geldi ve bu, ayak izinin AB, Suudi Arabistan, BAE ve ABD ötesinde ilk genişlemesine işaret ediyor.
Resecurity, “Grubun en son taktiği, Pakistan Post adına mobil operatörlerin müşterilerine iMessage ve SMS yoluyla kötü niyetli mesajlar göndermeyi içeriyor.” söz konusu Bu hafta başında yayınlanan bir raporda. “Amaç onların kişisel ve mali bilgilerini çalmak.”
Çince konuştuğuna inanılan tehdit aktörlerinin, sahte SMS mesajları göndermek için karanlık ağda satılan çalıntı veritabanlarından yararlandıkları, alıcıları başarısız bir paket teslimatı konusunda bilgilendirme ve güncelleme yapmalarını sağlama bahanesiyle alıcıları bağlantılara tıklamaya ikna ettikleri biliniyor. onların adresi.
URL’leri tıklayan kullanıcılar, yeniden teslimat için tahsil edilen sözde hizmet ücretinin bir parçası olarak, finansal bilgilerini girmelerini isteyen sahte web sitelerine yönlendiriliyor.
Resecurity, “Pakistan Post’un yanı sıra grup aynı zamanda çok sayıda sahte teslimat paketi dolandırıcılığının tespit edilmesinde de yer aldı” dedi. “Bu dolandırıcılıklar öncelikle TCS, Leopard ve FedEx gibi saygın kurye hizmetlerinden yasal paketler bekleyen kişileri hedef aldı.”
Bu gelişme, Google’ın PINEAPPLE adını verdiği ve Brezilyalı kullanıcıları kötü amaçlı bağlantılar veya dosyalar açmaya ikna etmek için spam mesajlarında vergi ve finans temalı tuzaklar kullanan ve sonuçta Astaroth (diğer adıyla Guildma) bilgilerinin yayılmasına yol açan bir tehdit aktörünün ayrıntılarını açıklamasıyla ortaya çıktı. kötü amaçlı yazılım çalmak.
Google’ın Mandiant ve Tehdit Analiz Grubu (TAG) “PINEAPPLE, Brezilya’daki kullanıcılara kötü amaçlı yazılım dağıtma girişimlerinde sıklıkla meşru bulut hizmetlerini kötüye kullanıyor.” söz konusu. “Grup, Google Cloud, Amazon AWS, Microsoft Azure ve diğerleri de dahil olmak üzere bir dizi bulut platformunu denedi.”
Astaroth’u yaymak için Google Cloud Run’ın kötüye kullanılmasının bu Şubat ayı başlarında Cisco Talos tarafından işaretlendiğini ve bunun Latin Amerika (LATAM) ve Avrupa’daki kullanıcıları hedef alan yüksek hacimli bir kötü amaçlı yazılım dağıtım kampanyası olarak tanımlandığını belirtmekte fayda var.
İnternet devleri aynı zamanda UNC5176 olarak takip ettiği Brezilya merkezli bir tehdit kümesinin finansal hizmetler, sağlık hizmetleri, perakende ve konaklama sektörlerini hedef aldığını ve çeşitli bankalar, kripto para birimi web siteleri ve e-posta istemcileri için oturum açma kimlik bilgilerini çekebilen URSA kod adlı bir arka kapıya sahip olduğunu gözlemlediğini söyledi.
Saldırılar, açıldığında uzak bir sunucuyla iletişim kurmaktan ve ikinci aşama bir VBS dosyasını getirmekten sorumlu bir Visual Basic Komut Dosyasını (VBS) bırakan bir HTML Uygulaması (HTA) dosyası içeren bir ZIP dosyası için dağıtım vektörleri olarak e-postaları ve kötü amaçlı reklam kampanyalarını kullanıyor.
İndirilen VBS dosyası daha sonra bir dizi anti-sanal alan ve anti-VM kontrolü gerçekleştirmeye devam eder ve ardından URSA yükünü almak ve yürütmek için bir komut ve kontrol (C2) sunucusuyla iletişim başlatır.
Google’ın öne çıkardığı, Latin Amerika merkezli finansal motivasyona sahip üçüncü aktör, Grandoreiro bankacılık truva atının dağıtımıyla bağlantılı olan FLUXROOT’tur. Şirket, 2023 yılında Google Cloud’da düşman tarafından barındırılan ve kullanıcıların kimlik bilgilerini çalmak amacıyla Mercado Pago’nun kimliğine bürünen kimlik avı sayfalarını kaldırdığını söyledi.
“Son zamanlarda FLUXROOT, kötü amaçlı yazılıma hizmet etmek için Azure ve Dropbox gibi bulut hizmetlerini kullanarak Grandoreiro’nun dağıtımına devam etti” dedi.
Açıklama, banka hesabı ayrıntılarını, e-posta hesaplarını ve diğer verileri toplamak için tasarlanmış kimlik avı mesajları yoluyla AsyncRAT, Quasar RAT, Remcos RAT ve XWorm gibi çeşitli uzaktan erişim truva atlarını yaydığı tespit edilen Red Akodon adlı yeni bir tehdit aktörünün ortaya çıkmasının ardından geldi. kimlik bilgileri.
Nisan 2024’ten bu yana devam eden kampanyanın hedefleri arasında Kolombiya’daki hükümet, sağlık ve eğitim kuruluşlarının yanı sıra finans, imalat, gıda, hizmet ve ulaşım sektörleri yer alıyor.
Meksika siber güvenliği, “Red Akodon’un ilk erişim vektörü, iddia edilen davalar ve adli celpler için bahane olarak kullanılan ve görünüşe göre Fiscalía General de la Nación ve Juzgado 06 sivil del devre de Bogota gibi Kolombiya kurumlarından gelen kimlik avı e-postaları kullanılarak gerçekleşiyor.” firma Scitum söz konusu.
