Saldırganlar, e-posta yoluyla siber güvenlik şirketi ESET’in kimliğine bürünerek İsrail genelindeki kuruluşlardaki çalışanlara temizleme amaçlı kötü amaçlı yazılım dağıtmaya çalıştı.
Kimlik avı e-postası
Saldırı, görünüşte “Eset Gelişmiş Tehdit Savunma Ekibi” tarafından gönderilen ve devlet destekli bilgisayar korsanlarının hedefin cihaz(lar)ını tehlikeye atmaya çalıştığı konusunda uyarıda bulunan bir kimlik avı e-postası şeklini aldı.
Kimlik avı e-postası (Kaynak: ESET Güvenlik Forumu’nun bir kullanıcısı)
E-posta, 8 Ekim’de ESET Güvenlik Forumu’nda, bunun bir kimlik avı girişimi olduğunun onayını isteyen bir alıcı tarafından yayınlandı.
Güvenlik araştırmacısı Kevin Beaumont, “ESET mağazasından geldiği için hem DKIM hem de SPF kontrollerini geçen e-postayı almayı başardım” dedi.
“Ek olarak, bağlantı aslında backend.store.eset.co.il — ESET İsrail’e aittir.”
Beaumont ayrıca hedeflere indirmeleri talimatı verilen ZIP dosyasını ele geçirmeyi başardı ve dosyayı analiz ettikten sonra bunun fidye yazılımı kılığına giren bir silici olduğunu fark etti.
ESET Israel Wiper (kötü amaçlı yazılıma kendi adını verdiği adla) “fiziksel bir [PC] ve patlama zamanı.”
Ekim 2023’te en son Gazze-İsrail ihtilafının başlamasından bu yana İsrail şirketleri, silici kötü amaçlı yazılımlarla defalarca hedef alındı.
ESET olayı doğruladı
Beaumont’un konuyu araştırması, ESET Research’ü bir hafta önce İsrail’deki bir ortak şirkette meydana gelen bir “güvenlik olayını” kamuya açıklamaya zorladı.
“İlk araştırmamıza göre, sınırlı sayıda kötü amaçlı bir e-posta kampanyası on dakika içinde engellendi. ESET teknolojisi tehdidi engelliyor ve müşterilerimiz güvende. ESET’in güvenliği ihlal edilmedi ve daha fazla araştırma yapmak için ortağıyla yakın işbirliği içinde çalışıyor ve durumu izlemeye devam ediyoruz.” diye ekledi ESET’in araştırma kolu.
“ESET İsrail, ESET markası altında ComSecure Ltd adlı bir şirket tarafından işletiliyor; ESET’in açıklamasına göre saldırıya uğrayan tarafın ComSecure olduğunu varsayıyorum. Her iki durumda da, e-postalarda ve indirmelerde ESET’in adı yer alıyor ve iş ortağı altyapısından gönderiliyor,” diye belirtti Beaumont.
Şimdilik, saldırganların bunu nasıl başardığının en olası açıklaması hesapların ele geçirilmesi gibi görünüyor.