Araştırmacılar, bir dizi mali amaçlı saldırıyı ve bir grup gelişmiş kalıcı tehdit (APT) benzeri casusluk faaliyetini tek bir siber suç varlığına bağladılar – ancak daha önce saldırı setlerinin iki farklı aktörün işi olduğuna inanılıyordu.
ESET’in bu hafta yaptığı analize göre, araştırmacıların “İltica Ambuscade” olarak adlandırdığı bir siber suç grubu, iki motivasyon arasındaki çizgide ilerliyor. Grup en az 2020’den beri aktif, ancak Proofpoint Mart 2022’de APT’ye göre Rusya işgalinden önce Ukraynalı mültecilere yardım eden Avrupa hükümet personelini hedef alan bir çabayı ayrıntılı olarak açıklayana kadar kamuoyuna duyurulmadı. Bu kampanyada siber saldırganlar, resmi devlet web posta portallarından gizli bilgileri ve web posta kimlik bilgilerini çalmak için hedef odaklı kimlik avı kullandı.
Bu arada, ESET araştırmacılarının takip ettiği, banka müşterilerini ve kripto para tacirlerini hedef alan ve Ocak 2022’den beri aktif olan bir dizi mali amaçlı siber suç saldırıları var. Kuzey Amerika (aynı zamanda Asya, Afrika, Avrupa ve Güney Amerika’da).
İki Motivasyon, Bir Siber Suç Aktörü
ESET araştırmacıları, suçlu yazılım ele geçirme zincirinin, SunSeed ve AHKBOT adlı özel kötü amaçlı yazılım varyantlarının kullanımına kadar, daha önce ayrıntıları verilen siber casusluk kampanyalarına çok benzer olduğunu ortaya çıkardı. Temel fark, “püskürt ve dua et” tarzı kötü amaçlı Google Ads ve yeniden yönlendirme zincirlerini içeren finansal saldırılarda uzlaşma vektörüdür.
ESET’in analizine göre, “Uzlaşma zincirleri tüm kampanyalarda neredeyse aynıdır”. “Özellikle SunSeed ve AHKBOT, hem siber suçlar hem de siber casusluk için yaygın olarak kullanılıyor; [and] SunSeed ve AHKBOT’un olduğuna inanmıyoruz [commodities used by multiple actors and] yeraltı pazarında satılıyor.”
Böylece araştırmacılar, “Sığınma Ambuscade’in bir yandan siber casusluk yapan bir siber suç grubu olduğunu belirlediler. [and] zaman zaman Orta Asya ve Avrupa’daki hükümetlere karşı kollara ayrılıyor gibi görünüyor.”
Grubun kiralık bir grup mu, devlet destekli bir aktör mü, yoksa sadece kendi kendini yöneten fırsatçılar mı olduğu belli değil. Her halükarda ESET araştırmacıları, “Özel siber casusluk operasyonları yürüten bir siber suç grubunu yakalamak oldukça alışılmadık bir durum ve bu nedenle araştırmacıların İltica Ambuscade faaliyetlerini yakından takip etmeleri gerektiğine inanıyoruz.”
Alışılmadık olabilir, ancak siber suç dünyasının iki yarısının ilk kez karışmadığına dikkat edilmelidir. Kuzey Koreli APT Lazarus Group, Pyongyang’daki rejimi finanse etmeye yardımcı olmak için kötü şöhretli bir şekilde kripto hırsızlığı ve diğer finansal soygunları gerçekleştirirken, aynı zamanda öldürücü bir siber casusluk aktörü olarak hareket ediyor.