İsrail Ulusal Siber Müdürlüğü, özellikle güvenlik ve savunmayla ilgili sektörlerde çalışan kişileri hedef alan aktif bir hedef odaklı kimlik avı kampanyasına ilişkin acil uyarı uyarısı yayınladı.
APT42 (aynı zamanda Charming Kitten olarak da bilinir) ile ilişkili altyapıyla bağlantılı olan operasyon, fırsatçı toplu kimlik avı yerine yüksek değerli personeli hedef alan kasıtlı ve karmaşık bir tehdidi temsil ediyor.
Saldırı, WhatsApp’ı birincil dağıtım vektörü olarak kullanıyor; tehdit aktörleri, güvenilirlik oluşturmak için meşru kuruluşların kimliğine bürünen mesajlar gönderiyor.
Yemler, profesyonel olarak meşru görünmek için tasarlanmış konferans temalı bahaneler kullanır ve hedef kitlenin endüstri etkinliklerine beklenen katılımından yararlanır.
Alıcılar sağlanan kısaltılmış URL’lere tıkladıklarında, kimlik bilgilerini ve hassas bilgileri toplamak üzere tasarlanmış sahte web sitelerine yönlendirilirler.
Bazı durumlarda altyapı, kurbanların cihazlarına kötü amaçlı dosyalar da göndererek saldırı yüzeyini kimlik bilgileri hırsızlığının ötesine genişletiyor.
Kampanya açıkça msnl’yi kullanıyor[.]Ink’in kısaltılmış bir URL hizmeti olarak kullanılması, operasyonun APT42’ye atfedilmesinin rastgele kimlik avı etkinliği olarak ele alınmasından ziyade belirlenmesinde önemli hale gelen bir ayrıntı.
Altyapı Tabanlı İlişkilendirme
İlişkilendirme analizi, basit yem incelemesinin ötesine geçerek altyapı düzeyindeki korelasyona kadar uzanır ve tehdit aktörlerinin belirlenmesinde önemli ölçüde daha yüksek güven sağlar.
Geçmişte APT42 ile ilişkili altyapıyı izleyen araştırmacılar, msnl arasında doğrudan bir örtüşme tespit etti[.]mürekkep ve yerleşik APT42 ticari modelleriyle tutarlı daha geniş bir URL kısaltma ekosistemi.
Bu altyapı ilişkisi, operasyonun izole kimlik avı girişimlerinden ziyade kasıtlı, koordineli tehdit faaliyetini yansıttığını doğrular.
Msnl’den pivotlama[.]mürekkeple kısaltılmış URL, farklı operasyonel imzalar sergileyen, bakımı yapılan, yeniden kullanılabilir bir altyapı ekosistemini ortaya çıkarır.
Altyapı manzarası, devlet destekli faaliyetin göstergesi olan çeşitli temel özellikleri göstermektedir.
Amaca yönelik olarak oluşturulmuş özel URL kısaltıcılar, birden fazla kampanyada kalıcı araçlar olarak hizmet eder ve geçici amaca uygun kaynaklar yerine uzun vadeli operasyonel planlama önerir.
Sunucu parmak izleri Microsoft IIS/10.0 yapılandırmalarını tutarlı bir şekilde tanımlayarak standartlaştırılmış altyapı dağıtım uygulamalarını gösterir.
Barındırma altyapısı, İranlı tehdit grupları tarafından operasyonel altyapı için yaygın olarak kullanılan Hollanda, Almanya, Moldova ve İtalya yetki bölgelerinde yoğunlaşıyor.
Stratejik etki alanı adlandırma kurallarıyla (özellikle .ink ve .info üst düzey etki alanları) birlikte dinamik DNS hizmetlerinin tutarlı bir şekilde yeniden kullanılması, yerleşik APT42 operasyonel güvenlik uygulamalarını yansıtır.
Analiz, daha önce izlenen APT42 ile ilişkili altyapıyla açık bir örtüşmeyi ortaya çıkararak ilişkilendirme güvenini güçlendiriyor.
Bu kampanya, APT42’nin devam eden operasyonel yeteneğini ve hedefleme önceliklerini göstermektedir. İsrail güvenlik ve savunma personeline odaklanmak, İran’ın jeopolitik düşmanlara ilişkin tarihi istihbarat hedefleriyle uyumludur.
Altyapının yeniden kullanım modeli, APT42’nin tek kampanyadan sonra araçları atmak yerine kalıcı, savunulan operasyonel kaynakları koruduğunu gösteriyor; bu, proaktif altyapı izlemeyi uygulayan savunucular için kritik bir içgörüdür.
Güvenlik uzmanları çalıştıran kuruluşlar, bu uyarıyı yüksek öncelikli olarak ele almalı ve WhatsApp tabanlı sosyal mühendislik vektörlerini vurgulayan kullanıcı farkındalığı eğitimini derhal uygulamalıdır.
Teknik ekipler belirlenen altyapıya olan bağlantıları izlemeli ve msnl ile ilgili güvenlik ihlali göstergelerini uygulamalıdır.[.]mürekkep ve ilgili alanlar.
Tehdit araştırmacılarının devam eden analizleri, altyapı genişleme modellerini, yeniden yönlendirme zinciri davranışlarını, barındırma ve ASN pivotlarını ve tarihsel kampanya örtüşmelerini ele alan, savunmacılara daha geniş APT42 operasyonel ekosisteminde taktiksel ve stratejik görünürlük sağlayacak ek arama sorguları vaat ediyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.