Husi yanlısı olduğu düşünülen bir tehdit grubu, hassas bilgileri toplamak amacıyla tasarlanmış Android casus yazılımıyla Yemen’deki en az üç insani yardım kuruluşunu hedef aldı.
Bu saldırılar, kod adı verilen bir etkinlik kümesine atfediliyor YağAlfaRecorded Future’ın Insikt Group’una göre, bu, kendi destekleyici altyapısıyla birlikte gelen yeni bir dizi kötü amaçlı mobil uygulamayı içeriyor.
Devam eden kampanyanın hedefleri arasında CARE International, Norveç Mülteci Konseyi (NRC) ve Suudi Arabistan Kralı Selman İnsani Yardım ve Kurtarma Merkezi yer alıyor.
Siber güvenlik şirketi, “OilAlpha tehdit grubunun Yemen’de ve potansiyel olarak Orta Doğu’da faaliyet gösteren insani yardım ve insan hakları örgütlerine karşı büyük ihtimalle aktif olduğu ve hedefli faaliyetler yürüttüğü” ifadelerini kullandı.
OilAlpha ilk olarak Mayıs 2023’te Arap Yarımadası’ndaki kalkınma, insani yardım, medya ve sivil toplum kuruluşlarını hedef alan bir casusluk kampanyasıyla bağlantılı olarak belgelenmişti.
Bu saldırılar, WhatsApp’ı kullanarak kötü amaçlı Android APK dosyalarını UNICEF gibi meşru kuruluşlarla ilişkiliymiş gibi göstererek dağıttı ve sonuç olarak SpyNote (diğer adıyla SpyMax) adlı bir kötü amaçlı yazılımın dağıtımına yol açtı.
Haziran 2024’ün başlarında tanımlanan son dalga, insani yardım programlarıyla ilgili olduğunu iddia eden ve her ikisi de Yemen’de aktif bir varlığı bulunan CARE International ve NRC gibi kuruluşlar gibi görünen uygulamalardan oluşuyor.
SpyMax trojanını barındıran bu uygulamalar kurulduktan sonra izinsiz izinler talep ediyor ve böylece kurbanın verilerinin çalınmasını kolaylaştırıyor.
OilAlpha’nın operasyonları ayrıca kullanıcıların oturum açma bilgilerini toplamak amacıyla bu kuruluşları taklit eden bir sürü sahte oturum açma sayfası kullanan bir kimlik bilgisi toplama bileşenini de içeriyor. Hedefin, etkilenen kuruluşlarla ilişkili hesaplara erişerek casusluk çabaları yürütmek olduğundan şüpheleniliyor.
Recorded Future, “Husi militanları, uluslararası insani yardımların hareketini ve dağıtımını sürekli olarak kısıtlamaya çalıştı ve yardım malzemelerini vergilendirip yeniden satarak kar elde etti” dedi.
“Gözlemlenen siber saldırıların olası açıklamalarından biri, yardımların kime ve nasıl ulaştırılacağını kontrol etme çabalarını kolaylaştırmak için istihbarat toplanması olabilir.”
Bu gelişme, Lookout’un, Yemen ve Orta Doğu’daki diğer ülkelerdeki hedeflere GuardZoo adlı bir Android veri toplama aracı gönderen başka bir gözetleme yazılımı operasyonuna Husi bağlantılı bir tehdit aktörünü dahil etmesinden haftalar sonra geldi.