İran’ın İslam Devrim Muhafızları Ordusu’na (IRGC) bağlı bir tehdit grubu, yaklaşan ABD başkanlık seçimleriyle ilişkili e-posta hesaplarına ve İsrail’deki yüksek profilli askeri ve diğer siyasi hedeflere karşı yeni siber saldırılar başlattı. Çoğunlukla sosyal mühendislikli kimlik avı kampanyaları şeklinde gerçekleşen bu faaliyet, İsrail’in Gazze’deki devam eden askeri harekâtına ve ABD’nin buna verdiği desteğe misilleme niteliğindedir ve bölgedeki gerginlikler arttıkça devam etmesi beklenmektedir.
Google’ın Tehdit Analizi Grubu (TAG) algılandı ve engellendi İran destekli “çok sayıda” girişim APT42belki de en iyi bilinen adıyla Şirin kedi yavrusuDün yayınlanan bir blog yazısına göre, Başkan Biden ve eski Başkan Trump ile bağlantılı yaklaşık bir düzine kişinin kişisel e-posta hesaplarına giriş yapmak için. Etkinliğin hedefleri arasında mevcut ve eski ABD hükümet yetkililerinin yanı sıra ilgili kampanyalarla ilişkili kişiler de vardı.
Paylaşımda ayrıca tehdit grubunun, mevcut ABD Başkan Yardımcısı ve şu anki başkan adayı Kamala Harris ve eski Başkan Trump ile bağlantılı kişilerin kişisel hesaplarını ele geçirme çabalarında ısrarcı olduğu belirtiliyor. Bunlar arasında “mevcut ve eski hükümet yetkilileri ile kampanyayla bağlantılı kişiler” de yer alıyor.
Keşif, “IntelFetch” adlı Telegram tabanlı bir bot hizmetinin de bulunmasıyla birlikte geldi tehlikeye atılmış kimlik bilgilerinin toplanması DNC ve Demokrat Parti web sitelerine bağlantılı.
Büyüleyici Yavru Kedi İsrail Hedeflerinin Etrafında Vuruyor
Yazıda, seçimle ilgili saldırıların yanı sıra TAG araştırmacılarının, savunma sektörüyle bağlantıları olan kişiler, diplomatlar, akademisyenler ve STK’lar da dahil olmak üzere İsrailli askeri ve siyasi hedeflere yönelik çeşitli kimlik avı kampanyalarını da takip ettiği belirtiliyor. Bu saldırıların Nisan ayından bu yana önemli ölçüde arttığı ifade ediliyor.
Google yakın zamanda, “İsrail için meşru Yahudi Ajansı’nın bir dilekçesi gibi görünen” grup tarafından oluşturulan birden fazla Google Sites sayfasını kaldırdı. İsrail hükümeti Paylaşımda, “Çatışmayı sona erdirmek için arabuluculuğa başvurmak” çağrısı yapıldı.
Charming Kitten ayrıca Nisan ayında İsrail ordusunu, savunmasını, diplomatlarını, akademisyenlerini ve sivil toplumunu hedef alan bir kimlik avı kampanyasında Google Sites’ı kötüye kullandı. Bu kampanya kapsamında, eski üst düzey İsrailli askeri yetkilileri ve bir havacılık yöneticisini hedef almak amacıyla, bir gazeteci gibi davranarak son hava saldırılarıyla ilgili yorum isteyen e-postalar gönderdi.
Google TAG’a göre, “Son altı ayda, 50’den fazla benzer kampanyada bu saldırganların Google Sites’ı kötüye kullanma yeteneğini sistematik olarak engelledik.”
Bu tür kampanyalardan biri, saldırganın kontrol ettiği bir Google Sites bağlantısı içeren ve kurbanı sahte bir Google Meet açılış sayfasına yönlendiren bir kimlik avı tuzağını içeriyordu. Diğer tuzaklar arasında OneDrive, Dropbox ve Skype da vardı.
Yeni ve Devam Eden APT42 Kimlik Avı Etkinliği
Diğer saldırılarda Charming Kitten, jeopolitik duruşunu yansıtan kimlik avı kampanyalarında çeşitli sosyal mühendislik taktikleri kullandı. Google TAG’a göre, faaliyetin öngörülebilir gelecekte azalması pek olası değil.
İsrailli diplomatlara, akademisyenlere, STK’lara ve siyasi oluşumlara karşı yakın zamanda başlatılan bir kampanyanın çeşitli e-posta servis sağlayıcıları tarafından barındırılan hesaplardan geldiğini keşfettiler. Mesajlar kötü amaçlı içerik içermese de, Google TAG bunların “APT42 hedefleri tehlikeye atmaya çalışmadan önce muhtemelen alıcılardan etkileşim elde etmek için tasarlanmış” olduğunu tahmin etti ve Google, APT ile ilişkili Gmail hesaplarını askıya aldı.
Haziran ayındaki ayrı bir kampanya, Google oturum açma kimlik bilgilerini toplamak için tasarlanmış bir kimlik avı kiti açılış sayfasına yönlendiren kısaltılmış bir URL bağlantısı içeren meşru bir siyasi varlığı taklit eden zararsız bir PDF e-posta eki kullanarak İsrailli STK’ları hedef aldı. Araştırmacılar, APT42’nin genellikle e-postanın gövdesine doğrudan veya başka türlü zararsız bir PDF ekinde bağlantı olarak yerleştirilmiş kimlik avı bağlantıları kullandığını belirtti.
Gönderide, “Bu gibi durumlarda APT42, hedef kitleyi bir video görüşmesi ayarlaması için sosyal mühendislik yoluyla kandırıyor ve ardından hedef kitlenin oturum açması için yönlendirildiği ve bir kimlik avı sayfasına yönlendirildiği bir açılış sayfasına yönlendiriyor” denildi.
Google TAG’a göre, bir diğer APT42 kampanya şablonu, güven oluşturmak ve hedef kitleyi Signal, Telegram veya WhatsApp gibi diğer platformlarda etkileşime girmeye teşvik etmek için sosyal mühendislik tuzağının bir parçası olarak meşru PDF ekleri göndermektir; büyük olasılıkla kimlik bilgilerini toplamak için bir kimlik avı kiti göndermenin bir yolu olarak kullanılır.
Siyasi Amaçlı Saldırılar Devam Edecek
Tüm bunlar, politik amaçlı siber saldırılarıyla bilinen APT42/Charming Kitten için yaygın bir avlanmadır. Son zamanlarda, son derece aktif İsrail’in Hamas’ın 7 Ekim’de İsrail’e düzenlediği saldırıya misilleme olarak Gazze’ye düzenlediği askeri harekattan bu yana İsrail, ABD ve diğer küresel hedeflere yönelik operasyonlar devam ediyor.
İran genel olarak uzun tarih Bölgedeki gerginliklere İsrail ve ABD’ye yönelik siber saldırılarla yanıt vermek. Google TAG’a göre, yalnızca son altı ayda ABD ve İsrail, APT42’nin bilinen coğrafi hedeflemesinin yaklaşık %60’ını oluşturdu. Uzmanlar, siber uzayın İran destekli tehdit aktörleri için birincil savaş alanı olmaya devam edeceğine inandıkları için, İsrail’in yakın zamanda İran topraklarında önde gelen Hamas liderini öldürmesinin ardından daha fazla etkinlik bekleniyor.
Google TAG’a göre “APT42, karmaşık ve ısrarcı bir tehdit aktörü ve kullanıcıları hedef alma ve yeni taktikler uygulama girişimlerini durdurmaya dair hiçbir belirti göstermiyor.” “İran ve İsrail arasındaki düşmanlıklar yoğunlaştıkça, APT42’den orada daha fazla kampanya görmeyi bekleyebiliriz.”
Araştırmacılar ayrıca gönderilerine APT42 tarafından kullanıldığı bilinen etki alanlarını ve IP adreslerini içeren bir tehlike göstergeleri (IoC) listesi eklediler. Hedef alınabilecek kuruluşlar ayrıca grubun yakın zamanda keşfettiği tehdit kampanyalarında kullandığı çeşitli sosyal mühendislik ve kimlik avı taktiklerine karşı dikkatli olmalıdır.
