Google’ın TAG’si (Tehdit Analizi Grubu), kullanıcıları Kuzey Kore hükümeti destekli kötü şöhretli APT grubu saldırılarından korumak için savunma önlemleri yayınladı.
Mendiant’ın son APT43 analizinden sonra, Google’ın TAG’ı kullanıcıları nasıl etkili bir şekilde koruduklarını paylaşıyor ve APT43 faaliyetleri, 2012’den beri ARCHIPELAGO operasyonu adı altında takip ediliyor.
APT 43, ABD’deki ve ABD dışındaki hükümet ve askeri yetkililere, politika yapıcılara ve araştırmacılara ait Google ve Google dışı kullanıcıların hesaplarını hedefler.
Kullanıcıları güvende tutmak ve hesaplarını güvence altına almak için Google, Güvenli Tarama’ya kötü amaçlı web siteleri, alanlar ve IOC’ler eklemeye devam ediyor
ve kullanıcının daha fazla saldırı ve istismara karşı güvenliğini sağlamak için hedeflenen kullanıcıların e-postalarına APT 43 etkinlikleri hakkında uyarılar göndermek.
ARCHIPELAGO Aktiviteleri
Google, Tehdit aktörlerinin, görüşme sorularını kontrol etmek veya bilgi istemek için alındı istemi yapmak üzere genellikle bir medya kuruluşunu taklit eden gelişmiş kimlik avı e-postaları gönderdiğini tespit etti.
Kullanıcı bağlantıları tıkladığında, oturum açma istemi gibi davranan bir kimlik avı sitesi olduğunu tahmin eder. Kimlik avı sayfası, kullanıcılar oturum açma kimlik bilgilerini girdiğinde tuş vuruşunu kaydeder ve sonunda bunları URL’yi kontrol eden saldırganlara gönderir.
Kurbanlar şifreyi girdikten kısa bir süre sonra, Google Drive’a yönlendirilir ve burada, görüşme sorularıyla ilgili uygun bilgileri içeren Benin sayfasını bulabilirler.
ARCHIPELAGO, son derece etkili ve yasal olarak benzer görünen bir kimlik avı sayfası yapmak için, hedefi göndermeden önce bir sayfa oluşturmak için birkaç gün harcadı.
“Bir vakada, grup Güney Koreli bir haber ajansı için gazeteci kılığına girdi ve Kuzey Koreli uzmanlara röportaj talebi içeren iyi niyetli e-postalar gönderdi.” Google dedi.
Tehdit aktörleri, yaklaşımı daha meşru hale getirmek için parola korumalı bir dosya ekine OneDrive bağlantısı göndererek kötü amaçlı yazılımı bırakmadan önce güven kazanmak için birkaç e-posta gönderir.
Tarayıcı İçinde Tarayıcı
Başka bir senaryoda, Google’ın TAG’ı, orijinal tarayıcıda oluşturulmuş sahte bir tarayıcı penceresi olan tarayıcıda tarayıcı içeren bir kimlik avı sayfasına götüren bir bağlantı buldu.
Sahte tarayıcıların, kullanıcılardan oturum açma kimlik bilgilerini girmelerini istemek için tasarlanmış bir Google hesabı olan tam bir oturum açma sayfası vardır.
Yükseltilmiş Kimlik Avı Taktikleri
ARCHIPELAGO olarak, eski oltalama teknikleri başarı oranını düşürmektedir. Kötü amaçlı yazılımı analiz etmenin ve güvenlik kontrolleri tarafından yakalanmanın daha zor olabileceği yeni taktikleri denemeye devam ediyorlar.
Yakın zamanda tespit edilen bir kimlik avı kampanyasında, tehdit aktörleri, OneDrive’da barındırılan bir PDF dosyasına bağlantı içeren bir kimlik avı e-postası gönderdi.
“PDF’nin, Dışişleri Bakanlığı Federal Credit Union’dan müşterilere Google Hesaplarında kötü amaçlı girişler tespit ettiklerini ve müşterinin Gmail hesabındaki etkinliği doğrulamak için PDF’deki bağlantıyı tıklaması gerektiğini bildiren bir mesaj olduğu iddia ediliyor.”
Kurbanlar bir kez tıkladığında, yalnızca kimlik avı sayfasına yönlendirir; ayrıca, saldırganlar tespit edilmekten kaçınmak için kimlik avı bağlantısını meşru bir bulut barındırma hizmetinde barındırılan zararsız bir PDF’nin içine yerleştirir.
Tehdit Aktörünün Kötü Amaçlı Yazılımla Taktikleri
TAG araştırmacıları, ARCHIPELAGO aktörlerinin son zamanlarda kötü amaçlı yazılım geliştirme operasyonlarına odaklandığını ve kaçınma tespiti ve diğer gelişmiş kötü amaçlı yazılım teknikleri gibi özellikler eklediğini keşfetti.
Aktörler, AV tespitini önlemek için kötü amaçlı yazılımı parola korumalı dosyalar aracılığıyla dağıtır ve parola, kimlik avı e-postası yoluyla paylaşılırdı.
Saldırganlar ayrıca diğer yeni tekniklerden bazılarını aşağıdaki gibi kullanır.
- Drive dosya adlarında kötü amaçlı yazılım yüklerini ve komutları kodlama
- ISO dosyalarında paketlenmiş kötü amaçlı yazılım
- Kötü Amaçlı Chrome Uzantıları
Google, ARCHIPELAGO’nun kötü amaçlı yazılım yüklerini ve komutlarını kodlamak için Drive dosya adlarını kullanmasını engellemek için harekete geçti. Grup, o zamandan beri bu tekniği Drive’da kullanmayı bıraktı. Google diyor.
Google ayrıca, kullanıcıların Google’ın Gelişmiş Koruma Programı’na kaydolmasını, Chrome için Gelişmiş Güvenli Tarama’yı etkinleştirmesini ve tüm cihazların güncellendiğinden emin olmasını önerir.
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin
Ayrıca Oku: