Hindistan Hava Kuvvetlerine Siber Saldırı: Go Stealer Yine Saldırıda


Hindistan Hava Kuvvetlerini hedef alan karmaşık bir siber casusluk saldırısı gün ışığına çıktı. Hindistan Hava Kuvvetlerine yapılan siber saldırı, hassas bilgileri gizlice çıkarmak için tasarlanmış kötü şöhretli Go Stealer yazılımının bir çeşidini içeriyor.

Kurnazca “SU-30_Aircraft_Procurement” adlı bir ZIP dosyası aracılığıyla dağıtılan kötü amaçlı yazılım, en son savunma satın alma duyurularından, özellikle de Eylül 2023’te Hindistan Savunma Bakanlığı tarafından 12 Su-30 MKI savaş uçağının onaylanmasından yararlanıyor.

Hindistan Hava Kuvvetlerine siber saldırı

Hindistan Hava Kuvvetlerine siber saldırı
Kaynak: Cyble

Cyble Research and Intelligence Labs’a (CRIL) göre, bu siber tehdidin işleyiş tarzı, dikkatlice planlanmış bir dizi adımla ortaya çıkıyor. Saldırganlar, yanıltıcı ZIP dosyasını barındırmak için Oshi adında anonim bir dosya depolama platformu kullanıyor ve dosyayı kritik savunma belgeleri gibi gösteriyor. Bağlantı, “hxxps://oshi[.]at/ougg” muhtemelen spam e-postalar veya diğer iletişim kanalları aracılığıyla dolaşıyor.

Bulaşma sırası, ZIP dosyasından ISO dosyasına, ardından .lnk dosyasına ilerlemeyi ve Go Stealer yükünün dağıtımıyla sonuçlanan süreci içerir. Saldırganlar, Hindistan Hava Kuvvetleri profesyonellerini farkında olmadan kötü amaçlı yazılımı tetiklemeye ikna etmek için savunma tedariki etrafındaki artan gerilimi stratejik olarak kullanıyor.

Go Stealer’ın Teknik Analizi

Go Stealer'ın Analizi
Kaynak: Cyble

Tanımlanan Go Stealer çeşidi, GitHub muadilinden farklı olarak, tehdit seviyesini yükselten gelişmiş özelliklere sahiptir. Go programlama dilinde kodlanmıştır ve temelini GitHub’da bulunan açık kaynaklı bir Go Stealer’dan devralır. Ancak bu varyant, tarayıcı hedefleme için genişletilmiş kapsam ve Slack aracılığıyla yeni bir veri sızdırma yöntemi de dahil olmak üzere geliştirmeler sunuyor.

GitHub Deposu
Kaynak: Cyble

Çalıcı, yürütmenin ardından, derinlemesine analiz için GoReSym gibi GoLang araçlarını kullanarak kurbanın sisteminde bir günlük dosyası oluşturur. Kötü amaçlı yazılım, Google Chrome, Edge ve Brave gibi belirli internet tarayıcılarından oturum açma kimlik bilgilerini ve çerezleri çıkarmak için titizlikle tasarlanmıştır.

Chrome'dan Veri Çalmak
Kaynak: Cyble

Hedeflenen yaklaşım, Hindistan Hava Kuvvetleri profesyonellerinden kesin ve hassas bilgiler toplamaya yönelik stratejik bir niyeti ifade eder.

GoReSym Çıkışı
Kaynak: Cyble

Veri Sızıntısı ve Gizli İletişim

Geleneksel bilgi hırsızlarından farklı olarak bu varyant, gizli iletişimler için Slack API’sinden yararlanarak daha fazla gelişmişlik sergiliyor. İletişim kanalı olarak Slack’in seçilmesi, platformun kurumsal ağlardaki yaygın kullanımıyla uyumlu olup, kötü amaçlı etkinliklerin normal iş trafiğine sorunsuz bir şekilde karışmasını sağlar.

Slack kullanarak sızma
Kaynak: Cyble

Go Stealer çeşidi, çalınan verileri saldırganın Slack kanalına yüklemek için özel olarak tasarlanmış “main_Vulpx” adlı bir işlevi sunar. Taktiklerdeki bu evrim, tehdit aktörlerinin iletişimi sürdürmesine ve çalınan verileri gizlice almasına olanak tanıyor.

SU-30 Uçağı Tedarik
Kaynak: X’te Hindistan Savunma Haberleri

“SU-30_Aircraft_Procurement” adlı aldatıcı ZIP dosyası aracılığıyla yayılan, kimliği tespit edilen Go Stealer, Hindistan Savunma Personeli için büyük bir tehdit oluşturuyor.

Saldırının zamanlamasının Hindistan Hükümeti’nin Su-30 MKI savaş uçağı alımına ilişkin açıklamasıyla örtüşmesi, hedefli saldırılar veya casusluk faaliyetlerine ilişkin endişeleri artırıyor.

Go Stealer’ın bu çeşidi, GitHub muadilinde gözlemlenmeyen bir düzeyde gelişmişlik sergiliyor; genişletilmiş tarayıcı hedefleme yeteneklerine sahip ve veri sızdırma için Slack’ten yararlanıyor.

Tarayıcılardan oturum açma kimlik bilgilerinin ve çerezlerin seçici bir şekilde toplanmasına yönelik stratejik odaklanma, tehdit aktörünün Hint Hava Kuvvetleri profesyonellerinden kesin ve hassas bilgiler edinme niyetini vurgulamaktadır.

Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber ​​Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.





Source link