Siber güvenlik araştırmacıları, operasyonel kalıpları ve saldırı metodolojileri hakkında kapsamlı bir soruşturmanın ardından iki Yemen merkezli siber suçlu, Belsen Group ve Zerosevengroup arasında potansiyel bir bağlantı belirlediler.
Keşif, kritik altyapıyı ve birden fazla kıtada işletme sistemlerini hedefleyen sofistike ağ saldırı kampanyaları hakkındaki endişelerin ortasında geliyor.
Belsen grubu ilk olarak Ocak 2025’te ortaya çıktı ve 15.000’den fazla savunmasız Fortinet Fortigate cihazından 1.6 GB hassas veri sızıntısı ile manşetlerde bulundu.
Uzaklaşan bilgiler, grubun başlangıçta BreachForums ve siber suçlu topluluklarında güvenilirlik oluşturmak için özel TOR tabanlı bloglarında özgürce paylaştığı IP adreslerini, sistem yapılandırmalarını ve VPN kimlik bilgilerini içeriyordu.
Grubun saldırı vektörü, Fortigate güvenlik duvarlarında kritik bir kimlik doğrulama bypass güvenlik açığı olan CVE-2022-40684’ten yararlanmaya odaklandı ve bu da kamu açıklamasından önce iki yıldan fazla bir süre mağdur sistemlerine erişimi sürdürdüklerini gösterdi.
İki varlığın daha kurulu olan ZerosevenGroup, Temmuz 2024’ten bu yana aktif, başlangıçta Breachforums, Crackedto ve Leakbase’e genişlemeden önce Nulledto da dahil olmak üzere platformlarda faaliyet gösteriyor.
Grup, Polonya, İsrail, Amerika Birleşik Devletleri, BAE, Rusya ve Brezilya’daki kuruluşları hedefleyen veri para kazanma stratejileri konusunda uzmanlaştı.
En dikkate değer ihlalleri, Toyota’nın ABD faaliyetlerini Ağustos 2024’te içeriyordu ve burada 240GB hassas kurumsal veriyi ortaya çıkarma sorumluluğunu iddia ettiler.
Kela siber ekip analistleri, yayınlama kalıplarının ve iletişim stillerinin adli analizi yoluyla gruplar arasında önemli operasyonel benzerlikler olduğunu kaydetti.
Soruşturma, her iki kuruluşun da özellikle “[ Access ]”Forum yayınlarında ve kurban duyurularında kare parantez ve boşluklarla.
Bu ayırt edici biçimlendirme modeli, Kela’nın kapsamlı tehdit istihbarat veritabanındaki bu iki aktöre özgüdür.
Taktik yakınsama ve ilişkilendirme analizi
Teknik analiz, grupların dijital ayak izlerinin OSINT araştırması yoluyla daha derin bağlantılar ortaya koydu. Araştırmacılar, sosyal medya varlığında eşleşen stilistik kalıpları, özellikle Twitter profilleri arasında #Hack dahil olmak üzere tutarlı hashtag kullanımı belirlediler.
Her iki grup da, kurban müzakereleri ve veri satışları için TOX, XMPP, Telegram ve X dahil olmak üzere birden fazla iletişim kanalını koruyarak benzer operasyonel güvenlik uygulamaları gösterdi.
.webp)
Belsen Group’un operasyonel altyapısı, kısmen düzeltilmiş e -posta adresi altında kayıtlı kurban listeleri ve iletişim bilgileri için sofistike bir soğan sitesi içeriyordu. [email protected].
Telegram yönetici hesabı (@BelsenAdmin, ID 6161097506), siber güvenlik sertifikasyon gruplarına, Yemen’deki bölgesel Arapça konuşan topluluklara abonelik modelleri ve teknik eğitim kanalları aracılığıyla ek istihbarat ortaya koydu.
Hesabın önceki kullanıcı adları ( @m_kyan0, @mmmkkk000000) devam eden araştırmalar için ek atıf belirteçleri sağladı.
Zerosevengroup’un teknik profili, Zerox296 kullanıcı adı altındaki Raidforums’ta “ZeroxGroup” olarak daha önceki enkarnasyonlarından evrim gösterdi.
Grubun parola sızdırılmış veritabanları ve infostalers üzerindeki kalıplarını yeniden kullanma kalıpları, operasyonlarını Yemen Shield Hacking Grubu ile ilişkili Yemen merkezli tehdit aktörlerine bağlayarak önemli ilişkilendirme bağlantıları sağladı.
Ocak 2025’ten bu yana istismar forumunda özel operasyonlara geçişleri, Medusa Fidye yazılımı grubuna karşı dolandırıcılık faaliyetlerinin maruz kalmasından sonra taktiksel uyum gösterdi.
Kesin atıf zor olsa da, operasyonel kalıpların, coğrafi kökenlerin ve taktik tercihlerin yakınsaması, bu siber suçlu varlıklar arasında koordinasyonu veya paylaşılan kaynakları güçlü bir şekilde önermektedir ve gelişmiş savunma önlemleri gerektiren gelişen bir tehdit manzarasını temsil etmektedir.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.