Çamaşırhane Bear olarak bilinen sofistike bir Rus devlet destekli ileri süren tehdit (APT) grubu, kapsamlı bir casusluk ve istihbarat toplama kampanyası yoluyla NATO ülkelerini ve Ukrayna’yı hedefleyen önemli bir siber güvenlik endişesi olarak ortaya çıktı.
Ayrıca Microsoft Tehdit İstihbaratı tarafından geçersiz Blizzard olarak izlenen bu tehdit oyuncusu, en azından Nisan 2024’ten beri aktif olarak faaliyet göstermektedir ve sosyal mühendislik ve altyapı obfusation’da gelişmiş yetenekler göstermektedir.
Grup stratejik olarak operasyonlarını Hollanda polis gücü, Ukrayna havacılık örgütü ve birden fazla Avrupa ve ABD sivil toplum kuruluşları da dahil olmak üzere yüksek değerli hedeflere odakladı.
Saldırı metodolojileri, güvenlik bilincine sahip kullanıcıları bile aldatmak için tasarlanmış özenle hazırlanmış alan adı yazım adını kullanan sofistike mızrak aktı kampanyaları ile birlikte, başlangıç erişim için çalıntı kimlik bilgilerine ve oturum çerezlerine büyük ölçüde dayanmaktadır.
ValidIn analistleri, başlangıçta bildirilen göstergelerin kapsamlı bir analizi, karmaşık bir kötü niyetli alan ağı ve destekleyici altyapı ile tehdit oyuncunun altyapısını tanımladılar.
Araştırma, Çamaşırhane Bear’ın üç temel alan göstergesi aracılığıyla çalıştığını ortaya koydu: Micsrosoftonline[.]Com EvilGinx çerçevelerini kullanan ana mızrak aktı platformu olarak hizmet vermektedir, Ebsumrnit[.]AB kötü niyetli e-posta gönderen ve Outlook ofis olarak işlev gören AB[.]Micsrosoftonline[.]Com Ek bir kimlik avı alt alan olarak hareket ediyor.
.webp)
Tehdit grubunun operasyonel güvenliği sofistike planlama ve yürütme göstermektedir.
Microsoft’un ilk raporlaması, daha derin bir altyapı analizi için temel oluşturdu, alan adı kaydı ve dağıtımda sistematik kalıpları, birden fazla operasyonel aşamada koordineli kampanya yönetimi önerdi.
Alan yazım hatası ve altyapı analizi
Çamaşırhane Bear’ın en dikkat çekici taktiksel yaklaşımı, meşru hizmetleri yakından taklit eden benzeri alanların sistematik olarak oluşturulmasını içerir.
Grup, Ebsumrnit dahil olmak üzere Avrupa İş Zirvesi alanının birden fazla varyasyonunu kaydetti[.]AB, Ebsurnm[.]AB, Ebsummlt[.]Ben, Ebsummt[.]AB, Ebsumlts[.]Ben ve Ebsum[.]AB, hepsi aynı altyapı kalıplarını ve kayıt metodolojilerini kullanıyor.
Teknik analiz, Grubun PDR Ltd.’ye yönelik tercihini, Cloudflare Adı sunucularını ve Gizliliği Koruyan E-posta Adreslerini sürekli olarak kullanan etki alanı kayıt şirketi olarak ortaya koyuyor.[.]Org hizmetleri.
Alan adlarında posta tabancası kullanın[.]ORG DNS, e -posta işlevselliği için kayıtlar, her kötü amaçlı alan adı, belirli e -posta alt alanları ile yapılandırılmış CNAME kayıtları aracılığıyla posta tabanı altyapısını işaret eder.
Grubun JavaScript tabanlı yeniden yönlendirme teknikleri teknik karmaşıklığı göstermektedir.
Yakalanan HTTP yanıtlarının analizi, Window.location.href REDIFTORS, aşağıdaki kod yapısının birden fazla uzlaşılmış alanda dağıtılmasıyla tutarlı kullanımını ortaya çıkardı:-
window.location.href="https://outlook.live.com"Vücut SHA1 karma, özellikle 38c47d338a9c5ab7ccef7413edb7b2112bdfc56f ve 2c0FA6Ce34Addf32571e8368f, inkâr-tespit edilen ek alanlar dahil olmak üzere,[.]com, bir kibrit[.]Dükkan ve It-Sharepoint[.]com.
Bu keşifler, bilinen altyapı ayak izini önemli ölçüde genişleterek grubun kapsamlı operasyonel yeteneklerini ve hedef ortamlara kalıcı erişimi sürdürmede uzun vadeli stratejik planlamayı gösterdi.
Gerçek zamanlı sanal alan analizi ile daha hızlı, daha doğru kimlik avı tespiti ve işletmeniz için gelişmiş koruma deneyimi-> Herhangi birini deneyin. Şimdi