Yaygın ve son derece kişiselleştirilmiş bir mızraklı kimlik avı kampanyası, Batı ve Rusya’daki sivil toplum kuruluşlarını, medyayı, bireyleri ve hükümet personelini hedef alıyor. Tehdit aktörü COLDRIVER aracılığıyla Rusya Federal Güvenlik Servisi’ne (FSB) atfedilen bu kampanya, çevrimiçi hesaplara erişim sağlamak için kişiselleştirilmiş ve son derece makul sosyal mühendislik taktikleri kullanıyor.
COLDRIVER Kampanyası Rus Muhalifleri Hedef Aldı
Bu kimlik avı kampanyasının hedefleri, sürgünde yaşayan önde gelen Rus muhalif figürlerinden ABD ve Avrupa’daki sivil toplum örgütlerindeki çalışanlara, ayrıca fon sağlayıcılara ve medya kuruluşlarına kadar çeşitli toplulukları kapsıyor. Ortak bir nokta, Rusya, Ukrayna veya Belarus’a odaklanmaktır.
Bazı hedefler hala Rusya’da ikamet ediyor ve çalışıyor, bu da onları önemli bir riske sokuyor. Citizen Lab’daki araştırmacılar ve ortakları, gizliliklerini ve güvenliklerini korumak için çoğu hedefin adını gizlemeyi tercih etti.
Araştırmacılar bu iletişimlerdeki kişiselleştirme düzeyinin çarpıcı olduğunu buldular, çünkü ifade edilen yakınlık düzeyi saldırganların hedeflerinin çalışmaları ve ağları hakkında derin bir anlayışa sahip olduğunu gösteriyordu. Bazı durumlarda saldırganlar kimlik bilgilerini girmeyen hedeflerle iletişime geçmişti.
Dikkat çeken hedeflerden biri, Rus araştırmacı haber kuruluşu Proekt Media’nın yayıncısı Polina Machold olarak belirlendi. Saldırganlar, Machold’un hesabını ele geçirmek için Machold’un tanıdığı bir kişiyi taklit etti. Proekt, Rus hükümeti içindeki yolsuzluk ve güç suistimalleri hakkında yüksek profilli haberleriyle bilinir.
Soruşturmacılar ayrıca düşünce kuruluşu ve politika alanında eski ABD yetkilileri ve akademisyenlerinin hedef alındığını da gözlemlemişti. Örneğin, eski ABD Ukrayna Büyükelçisi Steven Pifer, eski bir büyükelçi gibi davranan bir saldırgan tarafından hedef alındı.
COLDRIVER Saldırı Akışı
Tipik bir saldırı akışı aşağıdaki adımları içerir:
- Tehdit aktörü, hedefle tanıdığı biri gibi davranarak bir e-posta alışverişi başlatır.
- Hedeften, çoğunlukla kimlik avı bağlantısı içeren bir PDF dosyası olan bir belgeyi incelemesi istenir.
- Hedef bağlantıya tıkladığında tarayıcısı saldırganın sunucusundan JavaScript kodunu alır, bu kod hedefin sisteminin parmak izini hesaplar ve sunucuya gönderir.
- Sunucu, hedefin e-posta hizmeti için meşru bir oturum açma sayfası gibi görünen bir kimlik avı sayfasına yönlendirmeden önce kullanıcıya bir CAPTCHA gösterebilir.
- Hedef, parolasını ve iki faktörlü kodu girdiğinde, saldırgan hedef kişinin e-posta hesabına erişmek için kimlik bilgilerini kullanır.
Kapsamlı Altyapı ve Çakışmalar
Soruşturmada saldırganların, çoğunlukla Hostinger üzerinden kayıt altına alınan ve dönüşümlü IP adreslerine sahip paylaşımlı sunucularda barındırılan birinci aşama alan adlarından oluşan bir ağ kullandıkları, bu durumun da saldırının izlenmesini ve engellenmesini daha da zorlaştırdığı ortaya çıktı.
Bu kampanyada kullanılan kötü amaçlı PDF’ler, kimlik avı bağlantısının biçimlendirilmesi ve yerleştirilmesi, PDF meta verileri ve sahte İngilizce yazar adlarının kullanımı gibi tutarlı özellikleri paylaşmaktadır. Bu örtüşmeler, bu belgelerin oluşturulmasında otomatik araçların veya ad listelerinin kullanıldığını göstermektedir.
Araştırmacılar, bu son derece kişiselleştirilmiş kampanyaya karşı korunmak için şu önerileri paylaştı:
- Kişiselleştirilmiş ve acil e-postalara karşı dikkatli olun, gönderen bilgilerini doğrulayın ve çevrimiçi hesaplarınızı korumak için güçlü parolalar ve iki faktörlü kimlik doğrulaması kullanın.
- Özellikle bilinmeyen bir kişiden geliyorsa, gömülü bağlantı içeren PDF’lere karşı dikkatli olun ve şüpheli bağlantılara tıklamaktan kaçının.
- E-posta filtreleme ve antivirüs yazılımı gibi güçlü güvenlik önlemlerini uygulayın ve sistemlerinizi ve yazılımlarınızı en son güvenlik yamalarıyla düzenli olarak güncelleyin.
- Ayrıca, çalışanlarınıza kimlik avı konusunda farkındalık eğitimi verin ve şüpheli faaliyetleri tespit edip bildirmek için hesap etkinliklerini izleyin.