Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), Rus ve İran devlet destekli bilgisayar korsanlarının giderek artan bir şekilde kuruluşları ve bireyleri hedef aldığına dair bir uyarı yayınladı.
Daha spesifik olarak, ülkenin siber güvenlik kurumu, SEABORGIUM ve TA453 olarak izlenen tehdit aktörlerine atfedilen hedef odaklı kimlik avı saldırılarında bir artış tespit etti. Kampanyaların amacı kurbanlardan bilgi toplamaktır.
Ajans, “TTP’lerde (teknikler, taktikler ve prosedürler) ve hedefleme profillerinde benzerlik olmasına rağmen, bu kampanyalar ayrı ve iki grup işbirliği yapmıyor” diyor.
‘TA446’ olarak da bilinen SEABORGIUM, geçen yaz NATO ülkelerini hedef alan Rus devlet destekli bir tehdit grubu.
Microsoft, Ağustos ayında operasyonlar için kullanılan çevrimiçi hesapları devre dışı bırakarak grubun operasyonunu kesintiye uğratsa da, eylem saldırganları tamamen durdurmadı.
APT42 olarak da bilinen TA453, İran Silahlı Kuvvetlerinin ana kolu olan İslam Devrim Muhafızları Birliği (IRGC) bünyesinde faaliyet gösterdiğine inanılan İranlı bir tehdit grubudur. Oyuncu daha önce gazetecileri taklit ederek Orta Doğu’daki akademisyenleri ve politika uzmanlarını hedef alırken görülmüştü.
Spear-phishing saldırıları
NCSC’nin tavsiye belgesi, tehdit aktörlerinin, hedefleri hakkında yeterli bilgi toplamak ve ikna edici sosyal mühendislik senaryoları tasarlamak için ağ hizmetleri (ör. LinkedIn) gibi açık kaynak kaynakları kullanarak keşif gerçekleştirdiğini açıklıyor.
Her iki tehdit grubu da uzmanları veya gazetecileri taklit eden ve Outlook, Gmail ve Yahoo hesapları aracılığıyla hedeflerine e-posta gönderen birden fazla sahte hesap oluşturur.
Düşmanlar, başarı şanslarını artırmak için, genellikle hedefin ilgi alanında bulunan meşru kuruluşları taklit eden kötü amaçlı alanlar da oluşturur.
Tehdit aktörleri kurbanla bir yakınlık kurduktan sonra, hedefi e-posta hesabı kimlik bilgilerini çaldıkları ve hedefin tüm son iletişim arşivine eriştikleri bir kimlik avı sitesine götüren kötü amaçlı bir bağlantı paylaşırlar.
Ayrıca davetsiz misafirler, kurbanın e-posta hesabında posta iletme kuralları oluşturur, böylece kurban ve kişileri arasındaki gelecekteki tüm yazışmalar onlarla otomatik olarak paylaşılır.
Bu adım, kurbanın hesabına birden çok kez giriş yapma ihtiyacını ve kurbanın aldığı tüm mesajları alırken uyarı alma riskini ortadan kaldırır.
Azaltma
NCSC, her çevrimiçi hizmet için güçlü (uzun) ve benzersiz parolalar kullanılmasını ve mümkün olduğunda çok faktörlü kimlik doğrulama (MFA) korumasını açmayı önerir.
Ek olarak NCSC, potansiyel hedeflerin e-posta sağlayıcılarının otomatik e-posta tarama özelliklerini etkinleştirmesini ve tüm posta iletme kurallarını devre dışı bırakmasını önerir.
Son olarak, kişisel e-posta adreslerinden gönderilen tüm iletilere, özellikle de gönderenin araştırma merkezi veya medya grubu gibi tanınmış ve saygın bir kuruluşu temsil ettiğini iddia etmesi durumunda şüpheyle yaklaşılmalıdır.