Facebook’un ana şirketi Meta, potansiyel hedeflere kötü amaçlı yazılım dağıtmak için sosyal medya platformlarından yararlanan Güney Asya’daki iki casusluk operasyonuna karşı harekete geçtiğini açıkladı.
İlk faaliyet grubu, şirketin “kalıcı ve iyi kaynaklara sahip” olarak tanımladığı ve Yeni Zelanda’daki bireyleri hedef alan Bitter APT (aka APT-C-08 veya T-APT-17) adı altında izlenen bir bilgisayar korsanlığı grubu tarafından üstlenilen faaliyetlerdir. Hindistan, Pakistan ve Birleşik Krallık
Meta, Çeyrek Aylık Karşıt Tehdit Raporunda, “Bitter, insanları sosyal mühendislikle çevrimiçi olarak hedeflemek ve cihazlarına kötü amaçlı yazılım bulaştırmak için çeşitli kötü niyetli taktikler kullandı” dedi. Kötü amaçlı yazılımlarını dağıtmak için bağlantı kısaltma hizmetleri, kötü amaçlı etki alanları, güvenliği ihlal edilmiş web siteleri ve üçüncü taraf barındırma sağlayıcılarının bir karışımını kullandılar.”
Saldırılar, tehdit aktörünün platformda hayali kişiler yaratmasını, hedeflerle güven inşa etmek ve onları kötü amaçlı yazılım dağıtan sahte bağlantılara tıklamaya ikna etmek amacıyla çekici genç kadınlar kılığına girmesini içeriyordu.
Ancak ilginç bir bükülme ile saldırganlar, kurbanları, beta testi uygulamaları için kullanılabilecek ve uygulama geliştiricilerine geri bildirim sağlamak için kullanılabilecek meşru bir çevrimiçi hizmet olan Apple TestFlight aracılığıyla bir iOS sohbet uygulaması indirmeye ikna etti.
“Bu, bilgisayar korsanlarının hedeflere özel kötü amaçlı yazılımlar göndermek için açıklardan yararlanmaya güvenmeleri gerekmediği ve insanları Apple Testflight’ı indirmeye ikna ettikleri sürece uygulamayı daha meşru göstermek amacıyla resmi Apple hizmetlerini dağıtmak için kullanabilecekleri anlamına geliyordu. onları sohbet uygulamalarını yüklemeleri için kandırdılar” dedi araştırmacılar.
Uygulamanın tam işlevselliği bilinmemekle birlikte, bu amaç için düzenlenen bir sohbet ortamı aracılığıyla kampanyanın kurbanlarını denetlemek için bir sosyal mühendislik hilesi olarak kullanıldığından şüpheleniliyor.
Ek olarak, Bitter APT operatörleri, rastgele uygulamalar yüklemek, ses kaydetmek, fotoğraf çekmek ve virüslü telefonlardan arama kayıtları, kişiler, dosyalar gibi hassas verileri toplamak için işletim sisteminin erişilebilirlik izinlerini kötüye kullanan Dracarys adlı daha önce belgelenmemiş bir Android kötü amaçlı yazılımı kullandılar. metin mesajları, coğrafi konum ve cihaz bilgileri.
Dracarys, YouTube, Signal, Telegram ve WhatsApp gibi görünen truva atlı dropper uygulamaları aracılığıyla teslim edildi ve saldırganların mobil cihazlara girmek için meşru yazılım kılığında kötü amaçlı yazılımları giderek daha fazla dağıtma eğilimini sürdürdü.
Ayrıca, düşmanca bir adaptasyon işareti olarak Meta, grubun, alıcıların bağlantıyı tarayıcılarına yazmalarını gerektiren kırık bağlantılar veya kötü amaçlı bağlantıların görüntülerini sohbet dizilerine göndererek algılama ve engelleme çabalarına karşı çıktığını kaydetti.
Bitter’in kökenleri, belirli bir ülkeye kesin olarak bağlanacak pek çok göstergenin bulunmadığı bir bilmecedir. Güney Asya dışında faaliyet gösterdiğine inanılıyor ve yakın zamanda Bangladeş’teki askeri oluşumları vurmak için odak alanını genişletti.
Meta, Şeffaf Kabile’yi çökertiyor
Meta tarafından kesintiye uğratılan ikinci kolektif, Pakistan merkezli olduğu iddia edilen ve Hindistan ve Afganistan’daki devlet kurumlarını ısmarlama kötü amaçlı araçlarla hedef alma geçmişine sahip, gelişmiş ve kalıcı bir tehdit olan Şeffaf Kabile (aka APT36).
Geçen ay Cisco Talos, aktörü Hindistan’daki çeşitli eğitim kurumlarındaki öğrencileri hedef alan ve sivil kullanıcıları da içerecek şekilde tipik kurbanlık modelinden bir sapmaya işaret eden devam eden bir kimlik avı kampanyasına bağladı.
En son müdahaleler, askeri personeli, hükümet yetkililerini, insan hakları çalışanlarını ve diğer kar amacı gütmeyen kuruluşları ve Afganistan, Hindistan, Pakistan, Suudi Arabistan ve BAE’deki öğrencileri seçen bir birleşmeyi gösteriyor.
Hedefler, hem yasal hem de sahte şirketler, askeri personel veya romantik bir bağlantı kurmak isteyen çekici genç kadınlar için işe alım görevlileri gibi davranarak sahte kişiler kullanılarak sosyal mühendislik yapıldı ve sonunda onları kötü amaçlı yazılım barındıran bağlantılar açmaya ikna etti.
İndirilen dosyalar, XploitSPY adlı açık kaynaklı bir Android izleme yazılımının değiştirilmiş bir sürümü olan LazaSpy’ı içeriyordu ve aynı zamanda Mobzsar (aka CapraSpy) olarak bilinen başka bir kötü amaçlı kötü amaçlı yazılım sunmak için resmi olmayan WhatsApp, WeChat ve YouTube klon uygulamalarını kullanıyordu.
Her iki kötü amaçlı yazılım da arama günlüklerini, kişileri, dosyaları, kısa mesajları, coğrafi konumu, cihaz bilgilerini ve fotoğrafları toplamanın yanı sıra cihazın mikrofonunu etkinleştirerek onları etkili gözetim araçları haline getiren özelliklere sahiptir.
“Bu tehdit aktörü, küresel bir trendin iyi bir örneğidir. […] Araştırmacılar, düşük gelişmişlik gruplarının, gelişmiş saldırı yetenekleri geliştirmeye veya satın almaya yatırım yapmak yerine, açıktan erişilebilen kötü amaçlı araçlara güvenmeyi seçtikleri yerlerde” dedi.
Bu “temel düşük maliyetli araçlar […] dağıtmak için daha az teknik uzmanlık gerektirir, ancak yine de saldırganlar için sonuç verir” diyen şirket, “giriş engeli azaldıkça bilgisayar korsanlığı ve gözetim yeteneklerine erişimi demokratikleştirdiğini” de sözlerine ekledi.