Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Sosyal Mühendislik
Grup, Kazakistan’la Bağlantısını Gizlemek İçin Azerbaycanlı Hackerlar Gibi Göründü
Jayant Chakravarti (@JayJay_Tech) •
26 Ekim 2023
Bağımsız Devletler Topluluğu ülkelerinin devlet kurumlarının kimlik bilgilerini ve verilerini çalan Kazakistan merkezli bir siber casusluk grubu, kimliğini gizlemek için büyük çaba harcıyor. Grup, Azerbaycanlı bilgisayar korsanları gibi görünmek için özel kötü amaçlı yazılım ve kaçırma teknikleri kullanıyor.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Siber güvenlik şirketi Cisco Talos Çarşamba günü yaptığı açıklamada, YoroTrooper adlı siber casusluk aktörünün, operasyonların Azerbaycan’dan geliyormuş gibi görünmesini sağlamak için Azerbaycan’daki yerel VPN çıkış düğümlerini kullandığını söyledi.
Ancak araştırmacılar, YoroTrooper’ın ya Kazakistan devletinin talimatıyla hareket ettiğini ya da grubun Kazakça ve Rusça dillerindeki akıcılığı, Kazakistan para birimini kullanması ve Kazakistan devletinin güvenliğine odaklanması gibi çeşitli faktörlere dayanarak verileri Kazakistan’a satmak için çaldığını söyledi. -sahip olunan e-posta hizmeti. Grup bu yıl yalnızca bir Kazakistan kuruluşunu hedef aldı: Yolsuzlukla Mücadele Ajansı.
YoroTrooper, Azerice dilini konuşmamasına rağmen altyapısının çoğunluğunu Azerbaycan’da barındırıyordu ve araştırmacılar, bilgisayar korsanlarının kimlik avı saldırılarında kullanmak üzere metni Rusça’dan Azerice’ye çevirmek için Google Translate’i kullandığını söyledi.
Cisco Talos, grubu ilk kez Mart ayında açığa çıkararak, YoroTrooper’ın en az Haziran 2022’den bu yana Azerbaycan, Tacikistan, Kırgızistan ve diğer Bağımsız Devletler Topluluğu ülkelerindeki hükümet ve enerji kuruluşlarını hedef alan casusluk operasyonları yürüttüğü uyarısında bulundu.
YoroTrooper, Azerbaycan ve Türkmenistan’daki Avrupa ülkelerinin büyükelçilikleri, Dünya Fikri Mülkiyet Örgütü ve kritik bir Avrupa Birliği sağlık kurumu dahil olmak üzere birden fazla kuruluştan gizli sırları sızdırmak için AveMaria/Warzone RAT, LodaRAT ve Meterpreter gibi bir dizi bilgi hırsızı ve ticari amaçlı kötü amaçlı yazılım kullandı. Talos araştırmacıları o dönemde tehdit aktörünü Kazakistan’la ilişkilendirmiyordu.
Bu hafta Cisco Talos, YoroTrooper’ın Mart ayından bu yana ticari amaçlı kötü amaçlı yazılımlardan uzaklaştığını ve “Python, PowerShell, GoLang ve Rust gibi farklı platformlara yayılan yeni özel kötü amaçlı yazılımlara” giderek daha fazla güvendiğini söyledi.
Cisco Talos, “YoroTrooper, kötü niyetli faaliyetlerini sürdürmek için büyük ölçüde hareket halindeyken öğrenmeye güveniyor” dedi. “Operatörün sürekli olarak VPN bağlantıları gibi yeni araçlar satın almaya çalıştığını gözlemledik.”
Haziran ayından bu yana grup, Tacik hükümet yetkilisinin bilgisayarından yaklaşık 165 MB’lık belge de dahil olmak üzere verileri çalmak için özel kötü amaçlı yazılımlar ve çeşitli kimlik bilgileri çalma araçları kullandı. Grup ayrıca Tacikistan Ticaret ve Sanayi Odası ile İlaç Kontrol Dairesi’nin web sitelerine de erişim sağladı.
YoroTrooper daha sonra Kırgızistan’ın devlete ait kömür kuruluşunun web sitelerinin güvenliğini ihlal etti ve Ulaştırma ve Yollar Bakanlığı’nın bir devlet çalışanını mağdur etmek için hedef odaklı kimlik avı taktikleri kullandı. Grup ayrıca Özbek Enerji Bakanlığı’ndan üst düzey bir yetkiliyi de vurdu.
Cisco Talos, YoroTrooper’ın çalışanlara hedef odaklı kimlik avı e-postaları göndermeden önce savunmasız PHP tabanlı sunucuları aramak ve güvenlik açıklarını ve verilere maruz kalmayı bulmak için Google, Shodan ve Censys’i kullandığını söyledi. Kimlik avı e-postaları, kurbanları, kimlik bilgilerini toplamak için tasarlanmış, saldırgan tarafından kontrol edilen sayfalara yönlendirir.
Araştırmacılar, “Araştırmamız aynı zamanda grubun, hedeflerinin halka açık sunucularını bulmak ve bunlara sızmak için Acunetix gibi güvenlik açığı tarayıcılarına ve Shodan’da mevcut bilgiler gibi açık kaynaklı verilere aktif olarak güvendiğini gösterdi” dedi.
Tehdit aktörleri ayrıca kötü amaçlı yazılımın virüslü sistemlerdeki ayak izlerini azaltmak için Python tabanlı uzaktan erişim araçlarını Şubat ayında PowerShell’e taşıdılar ve araştırmacıların saldırıları doğru şekilde ilişkilendirmelerini önlemek için LNK ve HTA tabanlı enfeksiyon zinciri yerine Windows yürütülebilir dosyalarını kullanmaya başladılar.