Dünyanın dört bir yanından en az üç farklı gelişmiş kalıcı tehdit (APT) grubu, Mart 2022'nin ortalarında, devam eden Rus-Ukrayna savaşını kötü amaçlı yazılımları dağıtmak ve hassas bilgileri çalmak için bir yem olarak kullanarak hedef odaklı kimlik avı kampanyaları başlattı.
El Machete, Lyceum ve SideWinder tarafından yürütülen kampanyalar, Nikaragua, Venezuela, İsrail, Suudi Arabistan ve Pakistan'daki enerji, finans ve hükümet sektörleri dahil olmak üzere çeşitli sektörleri hedef aldı.
Check Point Research bir raporda, "Saldırganlar, hedeflere ve bölgeye bağlı olarak resmi görünümlü belgelerden haber makalelerine ve hatta iş ilanlarına kadar çeşitli tuzaklar kullanıyor". "Bu belgelerin çoğu, hedeflenen kuruluşlara ilk adımı atmak için kötü amaçlı makrolar veya şablon enjeksiyonu kullanır ve ardından kötü amaçlı yazılım saldırıları başlatır." dedi.
Kaspersky tarafından ilk olarak Ağustos 2014'te belgelenen İspanyolca konuşan bir tehdit aktörü El Machete'nin enfeksiyon zinciri olan Loki.Rat adlı açık kaynaklı bir uzaktan erişim trojanını dağıtmak için makro bağlantılı sahte belgelerin kullanımını belgeliyor. Ayrıca, pano verilerinin yanı sıra dosya işlemlerini gerçekleştirme ve isteğe bağlı komutları yürütme imkanı sağlıyor.
İkinci bir kampanya, Lyceum olarak bilinen İranlı APT grubundan geldi. Check Point'in birinci aşama .NET ve Golang dropperlarını dağıtmak için "Ukrayna'daki Rus savaş suçları" hakkında sözde bir e-posta kullanarak bir kimlik avı saldırısı başlattığını söyledi.
Başka bir örnekte ise, Hindistan'ın siyasi çıkarlarını desteklemek için faaliyet gösterdiği ve komşuları Çin ve Pakistan'a özel olarak odaklandığı söylenen devlet destekli bir ekip olan SideWinder'dır. Bu durumda saldırı dizisi, bilgi çalan kötü amaçlı yazılımları dağıtmak için Microsoft Office'teki Denklem Düzenleyici kusurundan (CVE-2017-11882) yararlanan bir belge kullanıyor.
İsrailli şirket, "Halkın dikkati genellikle tek bir konu üzerinde uzun süre oyalanmasa da, Rusya-Ukrayna savaşı bariz bir istisnadır" dedi. "Bu savaş Dünya çapında birden fazla bölgeyi etkiliyor ve potansiyel olarak geniş kapsamlı sonuçlara sahip. Sonuç olarak, APT tehdit aktörlerinin bu krizi casusluk amacıyla hedefli kimlik avı kampanyaları yürütmek için kullanmaya devam etmesini bekleyebiliriz." dedi.
thehackernews'dan alıntıdır.
Hiç yorum yok:
Yorum Gönder