Selamlar sayın Türk Hack Team üyeleri ve saygı değer yöneticileri
Phishin Kampanyası Ukrayna Mülteciler'e yardım edenleri hedef aldı haberi paylaşıyoruz.
İyi Okumalar Dilerim.
AB personeli arasında Ukrayna'ya yardım eden kötü amaçlı e-posta makroları dağıtmak için bir askeri e-posta adresi kullanıldı.
Yeni bir rapora göre, siber saldırganlar Ukrayna'dan kaçan mültecilerin lojistiğini yönetmede yer alan AB hükümet çalışanlarını devirmek için Ukraynalı askeri e-posta adresi kullandılar.
Ukrayna, kuruluşlar ve vatandaşlara yönelik dağıtılmış hizmet reddi (DDoS) kampanyalarından ulusal altyapıya ve daha fazlasına yönelik saldırılara kadar son haftalarda ve aylarda eşi görülmemiş bir siber saldırı dalgasının merkezinde yer almaktadır. Bu kez saldırganlar, Rusya'nın Ukrayna'yı işgal etmesiyle ilgili son dakika haberlerinden yararlanarak, Microsoft Excel dosyalarının kötü amaçlı yazılım ile karıştırılmış olduğu e-postaları açmaya ikna ettiler.
Araştırmacılar kimlik avı girişimini TA445'e (yani UNC1151 veya Ghostwriter'a) bağladı. TA445 daha önce Beyaz Rusya hükümetiyle bağlantı kurmuştur.
23 Şubat Çarşamba günü NATO, Rusya'nın Ukrayna'yı işgal etmesi konusunda acil bir toplantı yaptı.
Ertesi gün, Rusya'nın Ukrayna'yı işgal etmesinin ardından araştırmacılar devriye gezen şüpheli bir e-posta tespit ettiler. KONU: “UKRAYNA GÜVENLIK KONSEYI’NIN 24.02.2022 TARIHLI ACIL TOPLANTI KARARI UYARINCA.” "Açıldığında SunSeed adlı kötü amaçlı yazılım teslim eden, makrolar etkin bir Microsoft Excel (.xls) çalışma sayfası olan "List of persons.xlsx" adlı bir elektronik tablo içeriyordu."
E-posta, Ukrayna askeri e-posta adresi olan ukr.net adresinden gelmişti. Araştırmacılar bu adresi, 2016 yılında satın alınan Stihl marka çim biçme makinesi için halka açık bir satın alma belgesine izleyebildi. Sipariş, Ukrayna'nın Çernihiv şehrinde yer alan bir askeri birim olan "Brezilya" ve "2622" tarafından yapıldı. Saldırganların bir askeri e-posta adresine erişiminin tam olarak nasıl olduğu belli değil.
Bu kimlik avı, Ukrayna'dan gelen mültecilerin akıntılarını yönetmede yer alan çok özel bir grup Avrupa hükümet personelini hedef aldı. “Hedefler “bir dizi uzmanlık ve profesyonel sorumluluğa sahip olsa da, Avrupa içinde ulaştırma, finans ve bütçe tahsisi, yönetim ve nüfus dolaşımı ile ilgili sorumlulukları olan bireylerin hedeflenmesi konusunda net bir tercih oldu”, diyor.
Rapora göre, bu özel bireylerin hedeflenmekte olduğu amaç “NATO üye ülkeleri içinde kaynak, malzeme ve insan dolaşımı konusunda lojistik konusunda istihbarat kazanmaktı”.
Rusya'da Belarus'a bağlı saldırganlar
Raporda, hiçbir "somut" kanıtın bu kampanyayı belirli bir tehdit aktörüne "kesin" olarak bağlayabileceği belirtiliyor. Yine de araştırmacılar, geçen yılın Temmuz ayından itibaren ABD siber güvenlik ve savunma şirketlerini hedef alan bu kimlik avı kampanyası ile başka bir kampanya arasındaki benzerliklere dikkat çektiler.
Proofpoint araştırmacılarına göre, Temmuz kampanyası “Lua kötü amaçlı yazılım komut dosyası yüklemiş MSI paketlerini sunmak için oldukça benzer bir makro yüklü XLS ekini kullandı”. Lua, SunSeed'in kodlandırdığı programlama dilidir. “Aynı şekilde, kampanya da son zamanlarda yayınlanan bir hükümet raporunu sosyal mühendislik içeriğinin temeli olarak kullandı.” diye de ekledi.
Bu kampanyanın dosya adı – “Brifing.xls katılımcılarının listesi.” – bu yeni kampanyada kullanılan kampanyaya çok benzer. Ayrıca, “Lua komut dosyası, enfekte kurbanın C Sürücü bölümü seri numarasından oluşan SunSeed örneğine neredeyse aynı URI işareti oluşturdu. Her iki numunedeki kriptografi çağrılarının analizi, MSI paketlerini oluşturmak için WiX 3.11.0.1528'in aynı sürümünün kullanıldığını ortaya çıkardı.”
Bu üst üste binmeler, araştırmacıların iki kampanyanın aynı tehdit aktörü TA445 tarafından işlendiğini orta düzeyde güvenle sonuçlandırmasına olanak sağladı. Mandiant'a göre, grubun merkezi Belarusya ordusuna bağlı Minsk'te yer alır ve Belarus hükümetinin çıkarlarına göre işini yürütür. Belarus Rusya'nın yakın bir müttefiki.
Araştırmacılar bir feragatname ile sonuçlandı. “Eyleme geçirilebilir istihbaratın mümkün olan en hızlı şekilde açıklanmasıyla sorumlu raporlama” dengesinin “siber etki alanı içinde olmak üzere karma çatışmaların başlangıcı, operasyonların hızını artırdı ve savunmacıların bilinen ulus-devlet operatörleriyle ilişkilendirme ve tarihsel ilişki hakkında daha derin sorulara yanıt verme süresini azalttı.”
Ukrayna’nın eşi görülmemiş Siber Hedefleme
Bu kimlik avı kampanyası, son haftalarda ve hatta son günlerde Ukrayna'ya yönelik en kötü siber saldırı değildir. Yine de araştırmacılar, “Bu kampanyada kullanılan teknikler ayrı ayrı çığır açmamakla birlikte, topluca dağıtıldığı ve yüksek tempolu bir çatışma sırasında oldukça etkili olma yeteneğine sahip olduklarını” belirttiler.
Rahatlatıcı AG'den Thomas Stoesser e-posta ile Threatpost'a bu saldırının “mevcut sosyal mühendislik taktiklerini uyarlarken ne kadar acımasız ve akıllı tehdit aktörlerinin olabileceğini gösterdiğini” söyledi.
"Durum, her şirketin dikkate alması gereken iki önemli noktanın altını çiziyor." diye de ekledi. “Bir tanesi, çalışanları ortak sosyal mühendislik taktikleri konusunda düzenli olarak eğitmek yeterli değil. [Şirketler] her e-postayı sağlıklı bir şüphecilikle işleme koyan çalışanlara prim vermeliler. İkincisi, tüm hassas kurumsal verileri yalnızca çevre güvenliğinden çok daha fazla koruyabilirsiniz, hatta tüm bunları depoladığınız fark edilemez kasanın hatasız olduğunu hissederseniz bile.”
Evet sayın Türk Hack Team takipçileri bir konumuzun daha sonuna geldik, umarım öğretici bilgiler sunabilmişimdir.
İyi Forumlar Dilerim.
