Bilgisayar korsanları, kuruluşlara yıkıcı kötü amaçlı yazılımlarla saldırmak için önde gelen bir siber güvenlik firması olan ESET’in kimliğine büründü. 8 Ekim 2024’te başlayan saldırı, kurbanları kandırmak için ESET’in markasını ve altyapısını kullanan bir kimlik avı kampanyasını içeriyordu.
Kötü niyetli aktörler, ESET’in Gelişmiş Tehdit Savunma Ekibi’nden geliyormuş gibi görünen e-postalar göndererek alıcıları, devlet destekli saldırganların cihazlarını hedef aldığı konusunda uyardı.
DKIM ve SPF kimlik doğrulama kontrollerinden geçen bu e-postalar, “ESET Unleashed” adlı sahte bir güvenlik aracının indirilmesine yönelik bağlantılar içeriyordu.
How to Choose an ultimate Managed SIEM solution for Your Security Team -> Download Free Guide (PDF)
Güvenlik araştırmacısı Kevin Beaumont saldırıyı ortaya çıkardı ve kötü amaçlı dosyaların ESET İsrail’in meşru etki alanında barındırıldığı anlaşılıyor.
İndirilen ZIP dosyası, fidye yazılımı kılığına giren bir temizleyici olarak tanımlanan kötü amaçlı setup.exe dosyasının yanı sıra orijinal ESET DLL dosyalarını da içeriyordu.
Araştırmacı Costin Raiu tarafından “EIW” (ESET Israel Wiper) olarak adlandırılan temizleme zararlı yazılımı, virüs bulaşmış sistemlerdeki verileri geri döndürülemez şekilde silmek için tasarlandı.
Analiz, kötü amaçlı yazılıma yerleştirilmiş siyasi amaçlı mesajları ortaya çıkardı ve bu da Filistin yanlısı hacktivistlerle olası bir bağlantı olduğunu öne sürdü.
ESET, İsrail’deki ortak şirketi Comsecure’u etkileyen bir “güvenlik olayı” olduğunu kabul etti. Kötü amaçlı e-posta kampanyasının on dakika içinde engellendiğini belirten şirket, ESET’in kendi sistemlerinin ele geçirilmediğini vurguladı.
Ancak saldırıda kimliği doğrulanmış ESET alan adlarının kullanılması, ihlalin boyutuyla ilgili soruları gündeme getiriyor.
Kampanya, İsrail kuruluşlarındaki siber güvenlik personelini hedef alıyordu ve bu da ülkenin dijital savunmasını bozmaya yönelik stratejik bir girişimin göstergesiydi.
Saldırının zamanlamasının Ekim 2023’teki Hamas saldırısının yıldönümüne denk gelmesi, siyasi motivasyonları da akla getiriyor.
Saldırganların kimliği henüz doğrulanmamış olsa da, Filistin yanlısı Handala grubuyla ilişkilendirilen önceki kampanyalarla benzerlikler olduğu kaydedildi. Bu grubun son aylarda İsrail hedeflerine yönelik karmaşık saldırılarla bağlantısı var.
Bu olay, savunmaları atlatmak için giderek daha fazla güvenilir güvenlik sağlayıcısını taklit eden siber tehdit aktörlerinin gelişen taktiklerini vurguluyor.
Soruşturmalar devam ederken ESET ve ortakları, saldırının etkisini azaltmak ve gelecekteki olayları önlemek için çalışıyor.
Kuruluşlara, özellikle de İsrail’dekilere, istenmeyen e-postalar konusunda dikkatli olmaları ve güvenlikle ilgili iletişimlerin gerçekliğini resmi kanallar aracılığıyla doğrulamaları tavsiye ediliyor.
Free Webinar on How to Protect Small Businesses Against Advanced Cyberthreats -> Watch Here