.jpg "Ukrayna'da Kimlik Avı Saldırıları")
Rusya’nın askeri istihbarat servisiyle bağlantılı elit bilgisayar korsanları, istihbarat elde etmek ve savaşla ilgili kamusal söylemi etkilemek için Ukrayna’daki yüzlerce kullanıcıyı hedefleyen büyük hacimli kimlik avı kampanyalarıyla ilişkilendirildi.
FROZENLAKE adı altında aktörün faaliyetlerini izleyen Google’ın Tehdit Analiz Grubu (TAG), saldırıların “grubun 2022’de Doğu Avrupa’daki web posta kullanıcılarını hedeflemeye odaklanmaya” devam ettiğini söyledi.
APT28, Fancy Bear, Forest Blizzard, Iron Twilight, Sednit ve Sofacy olarak da izlenen devlet destekli siber aktör, hem oldukça aktif hem de yetkin. Casusluk için medyayı, hükümetleri ve askeri kuruluşları hedef alarak en az 2009’dan beri aktiftir.
Şubat 2023’ün başlarında başlayan en son izinsiz giriş seti, kullanıcıları kimlik avı alanlarına yönlendirmek ve kimlik bilgilerini ele geçirmek için çeşitli Ukrayna hükümeti web sitelerinde yansıyan siteler arası komut dosyası çalıştırma (XSS) saldırılarının kullanılmasını içeriyordu.
Açıklama, Birleşik Krallık ve ABD istihbarat ve kolluk kuvvetlerinin, Jaguar Tooth olarak bilinen kötü amaçlı yazılımı dağıtmak için Cisco yönlendiricilerindeki bilinen eski bir güvenlik açığından yararlanan APT28 saldırılarına ilişkin ortak bir uyarı uyarısı yayınlamasıyla geldi.
FROZENLAKE, Rusya’nın bir yılı aşkın bir süre önce ülkeyi askeri işgalinden bu yana Ukrayna’ya odaklanan tek aktör olmaktan çok uzak. Diğer bir kayda değer hasım topluluğu, Hazar Boru Hattı Konsorsiyumu’na (CPC) bağlı kuruluşları ve Doğu Avrupa’daki diğer enerji sektörü kuruluşlarını hedef almak için sürekli çaba sarf eden, namı diğer Sandworm, Seashell Blizzard (kızlık soyadı Iridium) veya Voodoo Bear olan FROZENBARENTS’dir.
Her iki grup da Genelkurmay Ana İstihbarat Müdürlüğü’ne (GRU) atfedildi ve APT28, 85. Özel Hizmet Merkezi (GTsSS) askeri istihbarat birimi 26165’e bağlı. Öte yandan Sandworm’un GRU’nun Birimi 74455’in bir parçası olduğuna inanılıyor.
Kimlik bilgileri toplama kampanyası, SMS yoluyla iletilen kimlik avı bağlantılarıyla TBM çalışanlarını hedef aldı. Enerji dikeyine yönelik saldırılar, nihayetinde şifreleri ve tarayıcı çerezlerini çalmak için Rhadamanthys olarak bilinen bir bilgi hırsızını çalıştıran sahte Windows güncelleme paketlerine bağlantılar dağıttı.
“En çok yönlü GRU siber aktörü” olarak adlandırılan FROZENBARENTS’in, Aralık 2022’nin başlarından itibaren Ukrayna savunma endüstrisini, ordusunu ve Ukr.net web postası kullanıcılarını hedef alan kimlik bilgilerine dayalı kimlik avı saldırıları başlattığı da gözlemlendi.
Karanlık Web İstihbarat Toplama Sanatında Ustalaşın
Karanlık ağdan tehdit istihbaratı elde etme sanatını öğrenin – Uzmanlar tarafından yönetilen bu web seminerine katılın!
Koltuğumu Kurtar!
Tehdit aktörünün, Rus yanlısı anlatıları yaymak, güvenliği ihlal edilmiş kuruluşlardan çalınan verileri sızdırmak ve dağıtılmış hizmet reddi (DDoS) saldırıları için hedefler göndermek için YouTube, Telegram ve Instagram’da çevrimiçi kişiler oluşturduğu söyleniyor.
TAG araştırmacısı Billy Leonard, “FROZENBARENTS, Telegram’daki popüler kanallarla ilişkili kullanıcıları hedef aldı” dedi. “E-posta ve SMS yoluyla iletilen kimlik avı kampanyaları, kimlik bilgilerini çalmak için Telegram’ı taklit etti ve bazen Rusya yanlısı kanalları izleyen kullanıcıları hedef aldı.”
İlgilenilen üçüncü bir tehdit aktörü, Rus çıkarları adına hareket ettiği bilinen Belarus hükümeti destekli bir grup olan PUSCHHA’dır (diğer adıyla Ghostwriter veya UNC1151). sifon kimlik bilgileri.
Google TAG ayrıca Küba fidye yazılımının arkasındaki grup tarafından Ukrayna hükümeti ve askeri ağlarda RomCom RAT dağıtmak için düzenlenen bir dizi saldırıya da dikkat çekti.
Leonard, “Bu, istihbarat toplama operasyonları yürüten bir aktöre daha benzer şekilde davranan bu aktörün geleneksel fidye yazılımı operasyonlarından büyük bir değişimi temsil ediyor” dedi.