İran Destekli Siber Saldırılar ve Hedefleri
Son yıllarda, İran‘ın desteklediği siber saldırı gruplarının faaliyetleri dünya genelinde büyük bir endişe kaynağı olmuştur. Bu grupların en dikkat çekeni ise İslami Devrim Muhafızları (IRGC) ile bağlantılı olan Eğitimli Manticore adıyla bilinen tehdittir. Bu grup, özellikle gazeteciler, savaffiyah denilen yüksek profilli siber güvenlik uzmanları ve bilgisayar bilimi profesörlerini hedef alan bir spear-phishing kampanyası başlatmıştır.
Spear-Phishing Nedir?
Spear-phishing, belirli bireyleri hedef alan bir dolandırıcılık türüdür. Bu tür saldırılarda, saldırganlar, kurbanları kandırmak amacıyla genellikle sosyal mühendislik teknikleri kullanarak sahte mesajlar yollarlar. Mesajlar, genellikle güvenilir kaynaklardan geliyormuş izlenimi vermek için tasarlanır. Daha önceki duyurularda, Check Point adlı siber güvenlik şirketi, bu tür saldırıların sıklıkla mevcut coğrafi ve siyasi gerginliklerden faydalandığını belirtmiştir.
*Eğitimli Manticore * ve Faaliyetleri
İşin içine giren pek çok aktör ile birlikte, Eğitimli Manticore grubunun takibi, APT35 (ve alt kümeleri APT42, CALANQUE, Charming Kitten gibi) isimleriyle bilinen tehdit gruplarıyla örtüşmektedir. Check Point‘in yaptığı araştırmalara göre, bu grup, sosyal mühendislik saldırılarını gerçekleştirmek için çeşitli platformlarda Facebook ve LinkedIn gibi sosyal medya sitelerini kullanmaktadır. Amaç, sahte kimlikler oluşturup kurbanları ikna ederek, bilgisayarlarına zararlı yazılımlar yükletmektir.
Son Dönemdeki Saldırılar
Haziran 2025’ten itibaren, İran-İsrail savaşının patlak vermesiyle yeni bir saldırı dalgası gözlemlenmiştir. Bu saldırılar, İsrailli bireyleri hedef alarak, sahte toplantı davetleri gönderme üzerine kuruludur. Check Point, bu saldırılarda kullanıldığı tespit edilen yapay zeka (AI) araçlarıyla özelleştirilmiş mesajların oluşturulduğunu bildirmiştir. Örneğin, bir WhatsApp mesajında, mevcut siyasi gerilimleri kullanarak kurbanı acil bir toplantıya katılmaya ikna etmek hedeflenmiştir.
Oyun İçi Stratejiler
Saldırıların başında gelen ilk mesajlar genellikle zararlı unsurlardan arındırılmıştır ve kurbanların güvenini kazanmaya yöneliktir. Saldırganlar, iletişim sırasında güven oluşturduktan sonra, kurbanlara sahte bağlantılar gönderirler. Bu bağlantılar, kurbanların Google hesap bilgilerini toplamaya çalışır. Check Point‘in sağladığı verilere göre, saldırganlar kurbanlara öncelikle e-posta adreslerini sorarak, bu adresin sahte kimlik avı sayfasında otomatik olarak doldurulmasını sağlarlar. Bu durum, kurbanları daha fazla ikna ederken, sahte işlemi meşru bir Google doğrulama süreci gibi gösterir.
Gelişmiş Phishing Yöntemleri
Sahte sayfalar, modern web teknolojileri kullanılarak oluşturulmaktadır. Bu sayfalar, React tabanlı Tek Sayfa Uygulamaları (SPA) ve dinamik sayfa yönlendirmeleri ile mümkün olduğunca gerçekçi bir görünüm elde etmektedir. Aynı zamanda, real-time WebSocket bağlantıları kullanarak çalınan verileri anında saldırganlara iletme kapasitesine sahip olmaktadır.
Phishing kitleri, yalnızca kullanıcı kimlik bilgilerini yakalamakla kalmaz, aynı zamanda iki faktörlü doğrulama (2FA) kodlarını da hedef alır. Bu durum, 2FA aktarımlarını kolaylaştırarak, kullanıcının kimliğini daha da tehlikeye sokar. Ayrıca, pasif bir keylogger ile de kurbanın klavye girişlerini kaydedebilmekte ve eğer kullanıcı süreci yarıda bırakırsa bu verileri sızdırmaktadır.
Sosyal Mühendislik Stratejileri
Sosyal mühendislik faaliyetleri, ayrıca sahte Google Sites alan adları kullanarak sahte Google Meet sayfaları oluşturmayı da içermektedir. Gerçek görünmek için bu sayfalarda, orijinal toplantı sayfalarını taklit eden görseller yer almaktadır. Resme tıklanıldığında kurban, kimlik avlama sayfalarına yönlendirilir.
Eğitimli Manticore, özellikle İsrail bireyleri için tehdit oluşturmaya devam etmektedir. Bununla birlikte, grup, yeni alanlar ve alt alanlar oluşturma, hızlı bir şekilde kaldırılma süreçlerini hızlandırma konularında oldukça çevik bir yapıya sahiptir. Bu yetenek, onların yoğun bir şekilde inceleme altında olmalarına rağmen etkili kalmalarını sağlamaktadır.
