Dolandırıcılık Yönetimi ve Siber Suçlar , Sosyal Medya
Güney Asyalı Siber Casusluk Aktörleri Kurbanları Kandırmak İçin Sahte Facebook Profilleri Kullandı
Jayant Chakraborty (@JayJay_Tech) •
5 Mayıs 2023
Sosyal medya devi Meta, Güney Asya’daki gelişmiş kalıcı tehdit grupları tarafından hassas bilgileri toplamak ve kullanıcıları kötü amaçlı yazılım yüklemeye ikna etmek için kullanılan yüzlerce sahte Facebook ve Instagram hesabını ele geçirdi.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Facebook, adı açıklanmayan Pakistan bağlantılı bir tehdit aktörü, muhtemelen Hindistan bağlantılı Patchwork gelişmiş kalıcı grup ve bağlantısı bilinmeyen Bahamut tehdit aktörü tespit ettiğini söyledi (bkz:: SideCopy APT, Hindistan’ın Birincil Savunma Araştırma Ajansını Hedef Aldı).
Meta, kimliği belirsiz Pakistan devlet bağlantılı grubun 120 Facebook hesabını kaldırdı ve bilgisayar korsanlarının, romantik bir bağlantı kurmak isteyen işe alım görevlilerini, gazetecileri ve kadınları taklit etmek için hayali kişilikler kullandığını söyledi. Hindistan’ı hedefleyen aktörler tarafından kullanım geçmişi olan “hassas kullanıcı verilerini toplayabilen düşük gelişmiş bir kötü amaçlı yazılım ailesi” olan GravityRAT kötü amaçlı yazılımını tercih ediyorlar.
Tehdit aktörleri, dosya depolama ve paylaşım hizmetleri veya işe alımla ilgili web siteleri gibi görünen etki alanlarını kullanır ve ayrıca GravityRAT’ı barındırmak için Google Drive ve Dropbox’ı kullanır.
Meta ayrıca Pakistan, Hindistan, Bangladeş, Sri Lanka, Tibet bölgesi ve Çin’deki askeri personeli, aktivistleri ve azınlık gruplarını hedef alan Hindistan merkezli Patchwork’e karşı da harekete geçti. Bahamut gibi Patchwork de Facebook ve Instagram’da aralarında savunma istihbarat danışmanları, askeri personel ve gazetecilerin de bulunduğu yaklaşık 50 sahte karakter kullandı.
Meta, Patchwork’ün kötü amaçlı sohbet uygulamalarını Google Play Store’a yerleştirmeyi başardığını söyledi – bu uygulamalar artık mevcut değil. Şirket, “Bu uygulamalar, yalnızca son kullanıcı tarafından verilen meşru uygulama izinlerine bağlı olarak kullanıcı verilerine erişim ile nispeten temel kötü amaçlı işlevsellik içeriyordu” diye yazdı.
Meta ayrıca Bahamut hack grubu tarafından askeri personeli, hükümet çalışanlarını, aktivistleri ve Hindistan ve Pakistan’daki diğer insanları hedef almak için kullanılan 110 Facebook ve Instagram hesabını kaldırdı. Şirket, Bahamut’un bağlantı kısaltma hizmetleri, güvenliği ihlal edilmiş veya saldırgan tarafından kontrol edilen web siteleri, resmi ve sahte uygulama mağazaları ve üçüncü taraf barındırma sağlayıcıları kullanarak siber casusluk faaliyetleri yürüttüğünü söyledi.
Bahamut, insanları kötü amaçlı yazılım indirmeleri veya hassas kişisel verileri paylaşmaları için sosyal olarak mühendislik yapmak amacıyla öncelikle gazeteciler, büyük teknoloji şirketleri için işe alım görevlileri, öğrenciler ve aktivistlerden oluşan sahte sosyal medya kişiliğini kullanır. Meta’ya göre, APT grubu aynı zamanda gerçek bölgesel medya kuruluşlarının, VPN sağlayıcılarının, siyasi kuruluşların veya yasal uygulama mağazalarınınkileri taklit eden ve güvenli sohbet, dosya paylaşımı, bağlantı veya haber uygulamaları gibi görünen etki alanları kurar.
Bu, Meta’nın tehdit gruplarını ilk kez çökertmesi değil. Şirket geçen Ağustos ayında yaptığı açıklamada, sahte sosyal medya karakterleri kullanmak ve kötü amaçlı yazılım dağıtmak suçlarından Güney Asya merkezli Bitter APT ve Pakistan merkezli APT36 aleyhinde işlem başlattığını açıklamıştı.