Araştırmacılar, İran devlet destekli bilgisayar korsanlarının, insanları kötü niyetli ekleri indirmeye ikna etmek için yeni bir kalitesiz numara bulduğunu söylüyor.
Proofpoint’ten siber güvenlik uzmanları bulundu (yeni sekmede açılır) İslam Devrim Muhafızları Birliği (IRGC) ile bağlantılı olduğu iddia edilen TA453 tehdit aktörü, kurbanları kötü amaçlı yazılım indirmeye sokmak için “çoklu kişiliğe bürünme” veya “çorap kuklası” yapıyor.
Başka bir deyişle, kendileriyle e-posta görüşmeleri yaparken, onlara mutlaka gönderilmemiş bir dosyayı indirmeleri için onları kandırmadan önce kurbanların yanlarında dinlemelerine izin veriyorlar.
Bir sohbeti taklit etmek
İşte nasıl çalışır: tehdit aktörleri, kimlikleri çalarak birden fazla sahte e-posta hesabı oluşturacaktır. (yeni sekmede açılır) bilim adamlarının, yönetmenlerin ve diğer yüksek profilli bireylerin. Ardından, adreslerden birinden diğerine bir e-posta göndererek kurbanı süreçte CC’ye gönderirlerdi. Bir veya iki gün sonra, kendilerine ait olan ikinci adresten bu e-postaya cevap vereceklerdi.
Bu şekilde, esasen bir e-posta dizisinin ortasında yakalanan kurban, gardını düşürebilir ve her şey hakkında sahte bir meşruiyet duygusu elde edebilir. Kısa bir süre sonra, katılımcılardan biri diğer katılımcılara bir ek gönderir ve kurbanın bunu indirip uç noktalarında çalıştırması gerekir. (yeni sekmede açılır)tehlikeli makrolarla dolu bir .DOCX dosyası alırlardı.
Bu kampanyadaki en büyük kırmızı bayrak, saldırıda kullanılan tüm e-postaların, kimliğine bürünülen kurumların etki alanlarında olmak yerine Gmail, Outlook veya Hotmail gibi büyük e-posta sağlayıcılarında oluşturulmuş olmasıdır.
Araştırmacılar, “Proofpoint tarafından Korg olarak adlandırılan indirilen şablonun üç makrosu var: Module1.bas, Module2.bas ve ThisDocument.cls.” “Makrolar, kullanıcı adı, çalışan işlemlerin listesi ve kullanıcının genel IP’si gibi bilgileri my-ip.io’dan toplar ve ardından bu bilgileri Telegram API’sini kullanarak dışa aktarır.”
Araştırmacılar, bunu doğrulayamasalar da, tehdit aktörlerinin yolun daha ilerisinde ek sömürüye giriştiğine inanıyorlar.
