Gelişmiş tehdit aktörleri, Doğu ve Güneydoğu Asya’daki finans ve devlet kuruluşlarını hedef alan koordineli, çok dilli bir kimlik avı kampanyası düzenledi.
Kampanya, kullanıcıları aşamalı kötü amaçlı yazılım indiricilerini indirmeye ikna etmek için özenle hazırlanmış ZIP dosyası tuzaklarını bölgeye özgü web şablonlarıyla birleştiriyor.
Son analizler, her biri belirli coğrafi ve sektörel hedeflere göre uyarlanmış, Geleneksel Çince, İngilizce ve Japonca dil çeşitlerini kapsayan birbirine bağlı üç kümeyi ortaya koyuyor.
Bu, yerelleştirilmiş operasyonlardan, minimum düzeyde adaptasyonla aynı anda birden fazla bölgeyi hedefleyebilen, ölçeklenebilir, otomasyona dayalı bir altyapıya doğru kasıtlı bir geçişi göstermektedir.
Kampanya, başlangıçta Tayvan Maliye Bakanlığı’nın kimliğine bürünen ve başlangıçta Tencent Cloud’da barındırılan kötü amaçlı PDF’leri dağıtan daha önceki kimlik avı dalgalarından geliştirildi.
Tehdit aktörleri yaklaşımlarını geliştirdikçe Tayvan için “tw” gibi bölgesel işaretler içeren özel alanlara yöneldiler ve erişimlerini Japonya ve Güneydoğu Asya’ya kadar genişlettiler.
Altyapı artık, birden fazla kampanyayı tek bir operatörün yönettiğini veya bölgeler arasında hızlı dağıtım sağlayan dağıtılmış bir araç setini gösteren, paylaşılan arka uç mantığına sahip çok dilli web şablonlarını kullanıyor.
Hunt.io analistleri, kampanyayı HuntSQL tabanlı pivotlamayı kullanan koordineli altyapı analizi yoluyla belirledi.
Araştırmacılar üç kümeye dağılmış 28 web sayfası keşfetti: 12’si Geleneksel Çince, 12’si İngilizce ve 4’ü Japonca.
Her küme, download.php ve Visitor_log.php betiklerini kullanan birleşik arka uç mantığını paylaşıyor; bu da, geniş ölçekte otomatik yük dağıtımı için tasarlanmış merkezi altyapıyı gösteriyor.
Tehdit aktörleri bürokratik, maaş bordrosu ve vergiyle ilgili dosya adlarını içeren zorlayıcı sosyal mühendislik tuzakları kullanıyor.
.webp)
Çin kümesi “Vergi Fatura Listesi” ve “Finansal Onay Formu” adlı arşivleri dağıtırken, İngilizce sürümü “Vergi Beyan Belgeleri” ve genel uyumluluk temalarını kullanıyor.
Japonca sayfalar özellikle maaş sistemi revizyonlarını ve vergi dairesi bildirimlerini hedefleyerek bölgesel kurumsal iletişim modellerine ilişkin gelişmiş bir anlayış sergiliyor.
Enfeksiyon Mekanizması ve Tespitten Kaçınma
Teknik uygulama, geleneksel e-posta ve web filtrelerinden kaçmak için tasarlanmış çok aşamalı bir enfeksiyon yaklaşımını ortaya koyuyor.
Kullanıcılar kimlik avı sayfalarını ziyaret ettiğinde JavaScript, IP adreslerini ve kullanıcı aracısı bilgilerini kaydetmek için ziyaretçi_log.php’yi çalıştırarak potansiyel takip kampanyaları için izleme altyapısı oluşturur.
İndirme düğmesi, JavaScript çalışana kadar gizli kalır, ardından dinamik olarak yük ayrıntılarını download.php’den alır.
Bu yaklaşım, statik analiz sırasında kötü niyetli niyeti maskelerken, geçerli ZIP yüklerinin yalnızca koşullar belirli ölçütlerle eşleştiğinde sunulmasını sağlar.
Dosya adlarının kendisi, kötü amaçlı yazılım göstergelerine odaklanan içerik filtrelerini atlamak için meşru görünen bürokratik terminolojiyi kullanarak kaçırma mekanizmaları olarak işlev görür.
Aşamalı kayıtlar içeren arşivler, vergi beyanları, maaş bildirimleri, mali değişiklikler gibi özgün organizasyonel bağlamları taşır; bu da onları meşru iş iletişimlerinden ayırt edilemez hale getirir.
Kimlik avı altyapısının tamamı Kaopu Cloud HK Limited’in Tokyo, Singapur ve Hong Kong da dahil olmak üzere birden fazla Asya konumunda barındırılmasına çözümlenerek, ilişkilendirme ve engelleme çabalarını karmaşıklaştıran coğrafi dağıtım sağlar.
Sosyal mühendislik, dinamik yük dağıtımı ve dağıtılmış barındırmanın bu gelişmiş birleşimi, Asya genelindeki kurumsal ortamları hedef alan kimlik avı kampanyası altyapısında önemli bir evrimi temsil ediyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
