İran devlet destekli aktörler, ABD’li bir düşünce kuruluşunu taklit ederek araştırmacıları hedef alan toplum mühendisliği kampanyaları yürütmeye devam ediyor.
Secureworks Karşı Tehdit Birimi (CTU), The Hacker News ile paylaşılan bir raporda, “Bu olaydaki hedefler, özellikle Orta Doğu bölgesindeki siyasi meselelere ve insan haklarına aktif olarak katılan tüm kadınlardı.” Dedi.
Siber güvenlik şirketi, etkinliği şu şekilde izlediği bir bilgisayar korsanlığı grubuna bağladı: kobalt illüzyonuAPT35, Charming Kitten, ITG18, Phosphorus, TA453 ve Yellow Garuda isimleriyle de bilinir.
Akademisyenlerin, aktivistlerin, diplomatların, gazetecilerin, politikacıların ve araştırmacıların tehdit aktörü tarafından hedef alındığı yıllar boyunca iyi bir şekilde belgelenmiştir.
Grubun İran İslam Devrim Muhafızları (IRGC) adına faaliyet gösterdiğinden şüpheleniliyor ve hükümetin stratejik çıkarları olan kişilerle temas kurmak için sahte kişiler kullanma modeli sergiledi.
SecureWorks, “Cobalt Illusion’ın hedefleriyle farklı mesajlaşma platformları üzerinden birden çok kez etkileşime girmesi yaygın bir durumdur.” dedi. “Tehdit aktörleri, yakınlık kurmak için önce zararsız bağlantılar ve belgeler gönderir. Ardından, Cobalt Illusion’ın erişmeye çalıştığı sistemler için kimlik avı yapmak üzere kötü amaçlı bir bağlantı veya belge gönderir.”
Taktiklerinin başında, kurbanların posta kutularının kontrolünü ele geçirmek için kimlik bilgileri toplamanın yanı sıra çalınan parolaları kullanarak Gmail, Yahoo! ve Microsoft Outlook hesaplarından veri çalmak için HYPERSCRAPE (aka EmailDownloader) gibi özel araçlar kullanmak yer alıyor.
Gruba bağlı başka bir ısmarlama kötü amaçlı yazılım, hedefin kimlik bilgilerini aldıktan sonra Telegram hesaplarından büyük ölçekte veri toplamayı kolaylaştıran C++ tabanlı bir Telegram “kapma” aracıdır.
En son faaliyet, hasmın ABD merkezli bir düşünce kuruluşu olan Atlantic Council’in bir çalışanı olarak kendini göstermesini ve bir rapora katkıda bulunma bahanesiyle siyasi meseleler ve insan hakları araştırmacılarına ulaşmasını içeriyor.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
KOLTUĞUNUZU AYIRTIN
Hileyi inandırıcı kılmak için, dolandırıcı “Sara Shokouhi” kişiliğiyle ilişkili sosyal medya hesapları (@SaShokouhi Twitter’da ve @sarashokouhii Instagram’da) Orta Doğu siyasetinde doktora sahibi olduğunu iddia etti.
Dahası, SecureWorks’e göre bu hesaplardaki profil fotoğraflarının Rusya’da yaşayan bir psikolog ve tarot kartı okuyucusuna ait bir Instagram hesabından çekildiği söyleniyor.
Çabaların başarılı bir kimlik avı saldırısıyla sonuçlanıp sonuçlanmadığı hemen belli değil. Ekim 2022’de oluşturulan Twitter hesabı, Instagram hesabı gibi bugüne kadar aktif durumda.
SecureWorks CTU baş araştırmacısı ve İran tematik lideri Rafe Pilling yaptığı açıklamada, “Kimlik avı ve toplu veri toplama, Cobalt Illusion’ın temel taktikleridir” dedi.
“Grup, posta kutularının, iletişim listelerinin, seyahat planlarının, ilişkilerin, fiziksel konumların vb. , yabancı ve yerli.”