.webp "İranlı APT42 Grubu, ABD Başkanlık Seçimlerine Saldırmak İçin Büyük Bir Kimlik Avı Kampanyası Başlattı")
İran hükümeti destekli siber grup APT42, ABD başkanlık seçimlerini engellemeyi amaçlayan bir kimlik avı kampanyası başlattı.
Google’ın Tehdit Analiz Grubu’na (TAG) göre, İran’ın İslam Devrim Muhafızları Ordusu (DMO) ile bağlantılı olan bu gelişmiş tehdit aktörü, hem Biden hem de Trump kampanyalarıyla bağlantılı üst düzey kişileri hedef alıyor.
Kampanya, APT42’nin siber casusluk yoluyla İran’ın siyasi ve askeri önceliklerini destekleme yönündeki daha geniş kapsamlı çabasının bir parçası.
APT42’nin hükümet yetkililerini, siyasi kampanyaları, diplomatları ve düşünce kuruluşları ve STK’larla ilişkili kişileri hedef alma geçmişi vardır.
Son aylarda ise odak noktasının ABD ve İsrail olduğu, bilinen coğrafi hedeflemelerinin yaklaşık yüzde 60’ının bu iki ülkeye yöneldiği belirtiliyor.
Grubun faaliyetleri, hassas hesapları ele geçirmek ve istihbarat toplamak için saldırgan ve çok yönlü çabalarla karakterize ediliyor.
Taktikler ve Teknikler
APT42, kimlik avı kampanyalarında kötü amaçlı yazılım, kimlik avı sayfaları ve kötü amaçlı yönlendirmeler dahil olmak üzere çeşitli taktikler kullanır. Kötü amaçlı içeriklerini barındırmak için genellikle Google Sites, Drive, Gmail, Dropbox ve OneDrive gibi popüler hizmetleri kullanır.
Dikkat çeken stratejilerinden biri de, typosquatting olarak bilinen bir teknikle, meşru kuruluşlara çok benzeyen sahte alan adları oluşturmaktır.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Örneğin, hedeflerini aldatmak için Washington Yakın Doğu Politikaları Enstitüsü’nü ve Brookings Enstitüsü’nü taklit ettiler.
Grubun kimlik avı kampanyaları oldukça özeldir ve güvenilir görünmek için büyük ölçüde sosyal mühendisliğe güvenir. Genellikle kimlik avı bağlantılarını doğrudan e-postalarda veya görünüşte zararsız PDF eklerinin bir parçası olarak gönderirler.
Bu e-postalar, hedefi etkilemek ve sahte bir açılış sayfasında kimlik bilgilerini girmeye yönlendirmek için tasarlanmıştır. APT42’nin kimlik avı kitleri, çok faktörlü kimlik doğrulamayı idare edebilecek kadar gelişmiştir ve bu da onları özellikle tehlikeli hale getirir.
Etki ve Tepki
APT42’nin faaliyetlerinin etkisi büyüktür, çünkü birden fazla e-posta sağlayıcısındaki hesapları başarıyla ihlal etmişlerdir.
TAG, APT42’nin ABD başkanlık kampanyalarıyla ilişkili kişilerin, aralarında mevcut ve eski hükümet yetkililerinin, siyasi danışmanların ve kampanya çalışanlarının da bulunduğu kişisel e-posta hesaplarına erişmeye yönelik çok sayıda girişimi tespit etti ve engelledi.
Buna karşılık Google, tehlikeye atılan hesapların güvenliğini sağlamak için proaktif önlemler aldı ve hedeflenen kullanıcılara hükümet destekli saldırgan uyarıları yayınladı.
Ayrıca kötü niyetli faaliyetleri kolluk kuvvetlerine de bildirdiler ve tehditi azaltmak için yetkililerle iş birliği yapmaya devam ediyorlar.
Ayrıca kampanya yetkilileri artan risk konusunda bilgilendirildi ve kişisel e-posta hesaplarındaki güvenlik önlemlerini artırmaları önerildi.
APT42’nin eylemleri, devlet destekli siber grupların demokratik süreçlere yönelik oluşturduğu sürekli tehdidin altını çiziyor. ABD başkanlık seçimleri yaklaşırken, yabancı müdahale potansiyeli kritik bir endişe olmaya devam ediyor.
Google’ın APT42’nin faaliyetlerini izleme ve engelleme yönündeki devam eden çabaları, seçim sürecinin bütünlüğünün korunması açısından hayati önem taşıyor.
Seçilmiş yetkililer, adaylar ve kampanya çalışanları da dahil olmak üzere yüksek risk grubundaki kişilerin, bu tür karmaşık siber tehditlere karşı savunmalarını güçlendirmek için Google’ın Gelişmiş Koruma Programı’na kaydolmaları teşvik ediliyor.
İran ile diğer ülkeler arasındaki gerginlik tırmanmaya devam ettikçe, siber alanın daha da çekişmeli hale gelmesi muhtemel.
Hassas bilgileri korumak ve demokratik kurumların güvenliğini sağlamak için dikkatli olmak ve güçlü siber güvenlik önlemleri almak şarttır.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Acces