Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Rusya’nın SVR’si Küresel Olarak Hükümeti, Akademiyi ve Savunma Kuruluşlarını Hedef Alıyor
Akşaya Asokan (asokan_akshaya) •
30 Ekim 2024
Rus devletine ait bir bilgisayar korsanlığı grubu, Microsoft çalışanları gibi davranarak siber casusluk amacıyla dünya genelindeki hedef kuruluşlara e-posta eki olarak kötü amaçlı yapılandırma dosyaları gönderiyor.
Ayrıca bakınız: İsteğe Bağlı | 2024 Kimlik Avı Analizleri: 11,9 Milyon Kullanıcı Davranışı Riskiniz Hakkında Neleri Ortaya Çıkarıyor?
Salı günü Microsoft, Rusya Dış İstihbarat Servisi tarafından yürütülen bir kampanyanın, kötü amaçlı uzak masaüstü protokolü yapılandırma dosyalarını içeren kimlik avı e-postalarından sorumlu olduğunu söyledi. Microsoft, tehdit aktörünü Midnight Blizzard olarak takip ediyor (bkz: Rusya’nın Gece Yarısı Blizzard’ının Saldırılarıyla Mücadele Taktikleri).
Bilgisayar devi Ocak ayında, grubun en az altı hafta boyunca üst düzey Microsoft yöneticilerinin gelen kutularına erişim elde ettiğini açıklamıştı. APT29, Cosy Bear ve Blue Kitsune olarak da bilinen grup, dünya çapındaki hükümet, akademi, savunma ve sivil toplum kuruluşlarındaki binlerce hedefe kimlik avı e-postaları gönderdi. Kampanya esas olarak Birleşik Krallık, Avrupa, Avustralya ve Japonya’daki kuruluşları hedef aldı.
Microsoft, kampanyanın Midnight Blizzard kimlik avı kampanyasının özelliklerini taşıdığını ancak RDP yapılandırma dosyasını kullanmasının “bu aktör için yeni bir erişim vektörü” olduğunu söyledi.
Microsoft, kimlik avını Ekim ayında, saldırganların Microsoft, Amazon Web Services veya sıfır güven temasıyla ilgili tuzaklar kullandığı sırada tespit etmişti. Yapılandırma dosyası, bilgi toplamaya yönelik otomatik ayarlar ve kaynak eşleme yetenekleriyle donatılmıştır.
Microsoft, “Hedef sistemin güvenliği ihlal edildiğinde, aktör tarafından kontrol edilen sunucuya bağlandı ve hedeflenen kullanıcının yerel cihazının kaynaklarını sunucuya yönlü olarak eşleştirdi” dedi. Bilgisayar korsanları kurbanların sabit disk ayrıntılarını, pano içeriğini, ses ve kimlik doğrulama özellikleriyle ilgili bilgileri ele geçirdi.
Microsoft, toplanan bilgilere dayanarak, bilgisayar korsanlarının haritalanan ağa kötü amaçlı yazılım yüklemeye ve hedeflenen cihazlara uzun süreli erişimi sürdürmek için uzaktan erişim Truva atlarını dağıtmaya devam ettiğini söyledi.
Microsoft’tan gelen uyarı, Amazon’un geçen hafta Midnight Blizzard’ın RDP yapılandırma dosyalarını içeren Ukraynaca kimlik avı e-postaları göndermesinin ardından hizmetini taklit eden etki alanlarını kaldırmasının ardından geldi. Amazon, tehdit aktörünün hedeflerin Windows kimlik bilgilerinin peşinde olduğunu söyledi. Bilgisayar Acil Durum Müdahale Ekibi-Ukrayna da kampanyayla ilgili bir danışma belgesi yayınladı.