Check Point Research, kötü şöhretli Agent Tesla kötü amaçlı yazılımını kullanan yakın tarihli bir siber saldırı dalgasını açığa çıkardı. Bu kampanya Amerika Birleşik Devletleri ve Avustralya'daki kuruluşları hedef aldı.
İlk kez 2014'te ortaya çıkan Ajan Tesla, yasal yazılım gibi görünse de arka planda sessiz bir hırsız gibi davranıyor.
Bir keylogger gibi çalışır ve virüs bulaşmış bir cihazda yapılan her tuş vuruşunu kaydeder.
Bu, saldırganların kullanıcı adları, şifreler ve finansal veriler gibi hassas bilgileri çalmasına olanak tanır ve bu da potansiyel olarak yıkıcı sonuçlara yol açabilir.
Kasım 2023'te başlatılan saldırı büyük ölçüde kimlik avı e-postalarına dayanıyordu. Genellikle sosyal mühendislik taktikleriyle hazırlanmış bu aldatıcı e-postalar, alıcıları kötü amaçlı bağlantılara veya eklere tıklamaları için kandırmak üzere tasarlanmıştır.
Bu durumda, e-postaların büyük olasılıkla meşru satın alma siparişleri veya teslimat bildirimleri olduğu ortaya çıktı ve bu da birinin tıklama olasılığını artırdı.
Check Point Research, bu operasyonda iki önemli oyuncu tespit etti: Ana tehdit aktörü Bignosa ve olası işbirlikçi Gods.
Trustifi'nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Bignosa, küresel ölçekte kuruluşları hedef alan daha büyük bir grubun parçası gibi görünüyor. Kanıtlar, onların hem ABD hem de Avustralya'daki işletmelere, eğitim kurumlarına ve hatta bireylere odaklanan geniş e-posta veritabanlarına sahip olduklarını gösteriyor.
Ek olarak, uzaktan erişim ve kimlik avı kampanyaları başlatmak için kullanılan bir sunucu ağını da sürdürüyorlar.
Saldırı Dağılımı
Bignosa sunucular kurdu, RoundCube gibi e-posta yazılımları kurdu ve “Cassandra Protector” adlı özel bir araçla korunan kötü amaçlı yükleri yükledi.
Bu araç, ilk kodu gizler ve kötü amaçlı yazılımı görünüşte zararsız ISO dosyalarına dönüştürür. Bignosa, gizlenmiş Ajan Tesla eklerini içeren kimlik avı e-postaları göndermek için çalınan e-posta kimlik bilgilerini kullandı.
E-postalar, muhtemelen çevrimiçi kaynaklardan alınan içerikten yararlanarak meşru iş iletişimlerini taklit ediyordu.
Eke tıklandığında, Agent Tesla kötü amaçlı yazılımı indirilip yürütülüyor ve bulaşan cihazdan hassas bilgileri sessizce çalıyor.
Bu bilgiler daha sonra saldırganın sunucularına iletildi. 7 Kasım'da Avustralyalı kuruluşlara yönelik ilk saldırının ardından, 30 Kasım'da ikinci dalga hem ABD'yi hem de Avustralya'yı hedef aldı.
Taktikler tutarlı kaldı ve Bignosa'ya yönelik kimlik avı e-postalarının etkililiği vurgulandı.
Her iki kampanyada da, saldırganların kötü amaçlı yazılımları gizlemesine ve güvenlik önlemlerini atlamasına olanak tanıyan, piyasada satılan bir araç olan Cassandra Protector kullanıldı.
Bignosa, kötü amaçlı yazılımın gerçek doğasını maskelemek için Cassandra Protector'un anti-virüsten kaçınma ve ISO dosyaları oluşturma gibi işlevlerinden yararlandı.
Muhtemelen Kenya'dan gelen bir siber suçlu olan Bignosa, deneyimli bir saldırgan gibi görünüyor. Nosakhare takma adını kullanıyor ve bir süredir kimlik avı kampanyaları yürütüyor.
Kanıtlar onun Ajan Tesla ve diğer kötü amaçlı yazılımları (Quasar, Warzone, PureCrypter) kullandığını ve kötü niyetli faaliyetleri için Grammarly ve SuperMailer gibi araçlara güvendiğini gösteriyor.
Bignosa, birden fazla takma adla (Gods & Kmarshal) faaliyet gösterebilen başka bir saldırgan olan Gods ile işbirliği yapıyor.
Gods, Haziran 2023 civarında kimlik avından kötü amaçlı yazılım kampanyalarına geçiş yaptı ve teknik açıdan daha yetenekli görünüyor, hatta Bignosa'nın Ajan Tesla enfeksiyonlarını temizlemesine yardımcı oluyor.
Araştırma Tanrıları tam olarak tanımlayamasa da ilginç ipuçları ortaya çıkardı. Potansiyel olarak bir Türk üniversitesinde eğitim görüyor, Türkçeyi akıcı konuşamıyor ve spam mesajları çevirmek için ChatGPT kullanıyor.
Ek olarak, Gods'ın e-posta adresine bağlı bir YouTube kanalı (“8 Letter Tech”), potansiyel olarak kötü niyetli kampanyaları için kullanılabilecek e-posta sunucularının kurulumuyla ilgili eğitimler sağlıyor.
Soruşturma, ortak kaynaklar ve iletişim yoluyla işbirliklerini ortaya çıkarıyor.
Örneğin Bignosa tarafından ödenen bir VDS sunucusu daha sonra Gods tarafından yönetilmiştir. Sosyal medya analizleri Bignosa ile Tanrılar arasındaki bağı daha da güçlendiriyor.
Araştırma, potansiyel olarak Gods (Kingsley Fredrick takma adını kullanan) tarafından yönetilen bir web tasarım işi de dahil olmak üzere, her iki kişiyle ilişkili hesaplar arasındaki bağlantıları tespit etti.
Soruşturma aynı zamanda Tanrı'nın devam eden kötü niyetli faaliyetlerini de ortaya çıkardı. Aralık 2023 ve Ocak 2024'te kimlik avı kampanyaları başlatarak bu grubun oluşturduğu tehdidin devam ettiğini vurguladı.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide