Güney Asya’dan geldiğine inanılan kalıcı bir tehdit oyuncusu olan Apt Sidewinder, Bangladeş, Nepal, Türkiye ve komşu ülkelerdeki hükümeti ve askeri kuruluşları hedefleyen sofistike bir kimlik bilgisi hasat kampanyası başlattı.
Grup, kimlik avı tekniklerinde dikkate değer bir uyarlanabilirlik gösterdi ve yüksek değerli hedeflerden hassas kimlik doğrulama kimlik bilgilerini çalmak için resmi giriş portallarının ikna edici kopyalarını yarattı.
Kampanya öncelikle, meşru hükümet iletişimlerini taklit eden silahlı belgeler ve kötü niyetli bağlantılar aracılığıyla mızrak aktı saldırılarından yararlanıyor.
.webp)
Güvenilir kurumları taklit ederek, tehdit aktörleri kurbanları, saldırgan kontrolündeki sunuculara kimlik doğrulama verilerini yakalamak ve doldurmak için tasarlanmış hileli oturum açma sayfalarına kimlik bilgilerini girmeye başarıyla kandırırlar.
Hunt.io analistleri, Nepal Savunma Bakanlığı’nı hedefleyen bir kimlik avı saldırısını araştırdıktan sonra operasyonu tespit etti ve bu da birden fazla ülkeyi ve devlet kurumlarını kapsayan daha geniş bir altyapının keşfedilmesine yol açtı.
Soruşturmada, her biri DGDP, DGFI, Bangladeş polisi ve Aselsan ve Roketsan gibi Türk savunma yüklenicileri de dahil olmak üzere farklı ajansları taklit etmek için özenle hazırlanmış bir düzineden fazla kimlik avı alanı ortaya çıktı.
Saldırganlar, birden fazla toplama uç noktasında fazlalığı korurken kimlik avı altyapısını hızla dağıtmak için NetLify ve Pages.dev gibi ücretsiz barındırma hizmetlerini kullanarak sofistike operasyonel güvenlik göstermektedir.
.webp)
Bu yaklaşım, mevcut alanlar tespit edildiğinde ve engellendiğinde hızlı bir şekilde yeni saldırı vektörleri oluşturmalarını sağlar.
Altyapı analizi ve kimlik bilgisi toplama yöntemleri
Teknik analiz, APT Sidewinder’ın merkezi toplama altyapısı yoluyla kimlik bilgisi hasatına yönelik sistematik yaklaşımını ortaya koymaktadır.
Grup, iki birincil kimlik bilgisi eksfiltrasyon alanı kullanıyor: Mailbox3-inbox1-bd.com ve Mailbox-inbox-bd.com, her ikisi de Frankfurt, Almanya’da M247 Europe SRL tarafından barındırılan IP adresi 146.70.118.226.
Kimlik avı sayfaları, çalıntı kimlik bilgilerini sessizce iletmek için sofistike isteğe bağlı istek mekanizmalarını kullanır. Örneğin, Mail-Mod-Gov-NP-Account-file-data.netlify.app adresinden barındırılan sahte bir Zimbra oturum açma sayfası, kullanıcı kimlik bilgilerini https://mailbox3-inbox1-bd.com/3456.php’ye gizlenmiş biçimlerde gönderilerek gönderen JavaScript kodu içerir.
HTML kaynak kodu, kötü amaçlı arka uç işlemleri yürütürken güvenilirliği artırmak için “Zimbra Web İstemcisi Oturum Aç” gibi otantik başlıkları korur.
Kampanya, /2135.php ve /idef.php gibi tutarlı arka uç komut dosyaları ile birden fazla kimlik avı kitine dağıtılan farklı hedefleme senaryolarında altyapının yeniden kullanıldığını gösteriyor.
Bu şablon tabanlı yaklaşım, bireysel URL’ler tehlikeye girdiğinde veya engellendiğinde bile operasyonel sürekliliği korurken, tehdit aktörlerinin operasyonlarını hızla ölçeklendirmesine izin veren otomatik dağıtım yeteneklerini gösterir.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın