Kimlik Avına Karşı Koruma, DMARC, Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Proofpoint Araştırmacıları, Kimlik Avı E-postalarına ve PDF'lerdeki Gömülü Bağlantılara Dikkat Edin diyor
Prajeet Nair (@prajeetspeaks) •
23 Mart 2024
Güvenlik firması Proofpoint'teki araştırmacılara göre, İran bağlantılı tehdit aktörü TA450, çok uluslu kuruluşlardaki İsrailli çalışanları kötü amaçlı bağlantılara tıklamaları için kandırmak amacıyla sahte maaş, tazminat ve mali teşvik e-postaları kullanıyor.
Ayrıca bakınız: İsteğe Bağlı Web Semineri | Üçüncü Taraf Riski, ChatGPT ve Deepfakes: Günümüzün Tehditlerine Karşı Savunma
MuddyWater, Mercury ve Static Kitten olarak da bilinen bir siber casusluk grubu olan TA450, ödemeyle ilgili sosyal mühendislik tuzaklarıyla küresel üretim, teknoloji ve bilgi güvenliği şirketlerindeki kurbanları baştan çıkarıyor. Perşembe günü Proofpoint, kampanyanın İsrail-Hamas savaşının Ekim 2023'te başlamasından bu yana İsrail örgütlerine yönelik saldırıların bir devamı olduğunu söyledi.
Proofpoint, TA450'nin hassas bölgesel yönetilen hizmet sağlayıcılara yönelik tedarik zinciri saldırıları yoluyla küçük ve orta ölçekli firmalardaki alt kullanıcılara erişim elde etmek için bölgesel teknoloji sağlayıcılarını hedeflediğini söyledi.
Kimlik avı kampanyası 7 Mart'ta başladı ve 11 Mart haftasına kadar devam etti. TA450, kötü amaçlı bağlantılar içeren PDF ekleri içeren e-postalar gönderdi. Bu taktik TA450 için yeni olmasa da, son gözlemler grubun kötü amaçlı bağlantıları doğrudan e-posta gövdesine dahil etmeyi tercih ettiğini gösterdi.
PDF ekleri, Egnyte, Onehub, Sync ve TeraBox gibi dosya paylaşım sitelerine yönlendiren, biraz çeşitli gömülü bağlantılara sahiptir. Poofpoint, e-postaların TA450'nin son faaliyetleriyle tutarlı olarak ele geçirilmiş .IL gönderen hesaplarından kaynaklandığını söyledi.
İlk erişim, genellikle TA450 tarafından kötüye kullanılan bir uzaktan yönetim yazılımı olan AteraAgent'ı yükleyen, sıkıştırılmış bir MSI dosyası içeren bir ZIP arşivini indirir.
Orta ölçekli bir finansal hizmetler firmasının güvenliği ihlal edilmiş bir e-posta adresinden gelen e-postalar, bulut barındırma sağlayıcısı OneHub'a bir bağlantı içeriyordu. Bu bağlantı, kurbanı, uzaktan yönetim aracı Syncro için meşru bir yükleyici yürütülebilir dosyasını içeren bir Zip arşivine yönlendirir.
“Syncro, işletmelerde kullanılan meşru bir uzaktan yönetim aracı olsa da, bu bağlamda, hedef ana bilgisayara yüklendikten sonra, tehdit aktörleri uzaktan yönetim aracını uzaktan erişim Truva atı gibi kullanabilecek ve muhtemelen hem yerel hem de yerel ağ üzerinden ek izinsiz giriş etkinlikleri gerçekleştirebilecektir. Proofpoint araştırmacıları daha önce “araçlar ve özel kötü amaçlı yazılımlar” dedi.
Grup daha önce meşru programları kötü amaçlı yazılım çalıştırmaya yönlendirmek ve komuta ve kontrol işlevlerini gizlemek için PowerShell komut dosyalarını gizlemek amacıyla yandan yüklemeli DLL'leri kullanmıştı.
Proofpoint araştırmacıları, grubun taktikleri, teknikleri ve prosedürlerinin yanı sıra kullanılan hedefleme kalıpları ve kötü amaçlı yazılımlara ilişkin analizlerine dayanarak kampanyayı TA450'ye bağlıyor.
ABD Siber Komutanlığı, 2017'den beri aktif olan APT grubunun İran İstihbarat ve Güvenlik Bakanlığı ile bağlantılı olduğunu söylüyor (bkz: MuddyWater Asya ve Avrupa'daki Kritik Altyapıyı Hedefliyor).
TA450, Kuzey Amerika, Avrupa ve Asya'daki yüksek değerli hedeflere yönelik casusluk kampanyalarıyla bağlantılıdır.
En son kampanya TA450'nin gelişen taktiklerini gösteriyor. Kötü amaçlı bağlantılara sahip eklerin kullanıldığı ilk örnek olmasa da, grup ilk kez bir PDF içinde kötü amaçlı bir URL sunmaya çalıştı.
Ayrıca bir Proofpoint araştırmacısı Bilgi Güvenliği Medya Grubu'na şunları söyledi: “Bu kampanya, Proofpoint'in yem içeriğiyle eşleşen bir gönderen e-posta hesabı kullanarak TA450'yi ilk kez gözlemlemesidir.”