İran ve Rusya’nın ulusal çıkarlarıyla uyumlu düşmanca gelişmiş kalıcı tehdit (APT) grupları, özenle hazırlanmış ve yüksek oranda hedeflenmiş mızraklı kimlik avı ile akademisyenler, aktivistler, hayır kurumları ve STK çalışanları, savunma ve hükümet yetkilileri, gazeteciler ve politikacılar dahil olmak üzere Birleşik Krallık vatandaşlarını hedefliyor. Birleşik Krallık Ulusal Siber Güvenlik Merkezi’nden (NCSC) gelen yeni istihbarata göre e-postalar.
Farklı ancak teknik olarak benzer kampanyalar, diğer isimler arasında Charming Kitten tarafından da kullanılan İran’ın TA453’üne ve yine Cold River’dan geçen ve yakın zamanda eski MI6 şefi Richard Dearlove’a yönelik bir saldırıyla bağlantılı olan Rusya’nın Seaborgium’una göreceli bir güvenle atfediliyor. katı Brexit savunucularından oluşan bir grup ve ABD’li nükleer bilim adamlarını hedef alan bir olay.
Devam eden siber faaliyet modelinin, NCSC tarafından doğrulanmasa da, APT’lerin Tahran ve Moskova’daki sözde hükümet maaş sorumlularının hedeflerini destekleyen istihbarat toplamayla bağlantılı olduğundan şüpheleniliyor.
NCSC’nin operasyon direktörü Paul Chichester’a göre, nispeten küçük ölçekli ve İngiliz halkının çoğunluğu için acil bir tehdit oluşturmuyor. hacim, bu bir endişeydi.
“Birleşik Krallık, endüstri ortaklarımızla birlikte kötü niyetli siber faaliyetleri ifşa etmeye kararlıdır ve bu danışma belgesi, hedefli kimlik avı saldırılarının oluşturduğu kalıcı tehdide ilişkin farkındalığı artırmaktadır” dedi.
“Rusya ve İran merkezli tehdit aktörlerinin bu kampanyaları, çevrimiçi kimlik bilgilerini çalmak ve potansiyel olarak hassas sistemleri tehlikeye atmak amacıyla hedeflerinin peşine acımasızca devam ediyor.
“Kuruluşları ve bireyleri potansiyel yaklaşımlara karşı tetikte olmaya ve kendilerini çevrimiçi ortamda korumak için danışma belgesindeki hafifletme tavsiyelerine uymaya şiddetle teşvik ediyoruz.”
NCSC bugün doğrudan potansiyel kurbanlara yönelik yeni bir danışma belgesi yayınlıyor – bu genellikle yalnızca savunmasız kuruluşlara veya bireylere yönelik acil bir erişime ihtiyaç duyulduğu nispeten kesin olduğunda yaptığı bir şey, bu nedenle bulguları kayda değer.
Gözlemlenen iki hedef odaklı kimlik avı kampanyasının her ikisi de, özellikle hedef odaklı kimlik avı teknikleri söz konusu olduğunda, nispeten benzer siber ticaret unsurlarını kullanıyor.
Gruplar hedeflenen kurbanlarının güvenini ve güvenini kazanmaya çalıştıklarından, temas genellikle zararsız görünecek ve meşru temaslardan kaynaklanıyor gibi görünebilir. Gözlemlenen tuzaklar, konferanslara veya etkinliklere yönelik sahte davetleri içeriyordu.
Yaklaşımlar e-posta, sosyal medya ve profesyonel ağlar aracılığıyla yapılıyor, ancak özellikle bu örnekte, TA453 ve Seaborgium’un resmi iş hesaplarının aksine kurbanlarının kişisel e-posta hesaplarını hedef aldığı görüldü.
NCSC, bu taktiğin saldırganlar için daha kolay bir yol sunabileceğine, insanların kişisel e-posta adreslerini verdikleri kişilere daha fazla güvenme eğiliminde olmalarından veya kişisel hizmetleri kullanırken daha az dikkatli olmalarından yararlanabileceğine inanıyor. Ayrıca, kurumsal ağlarda mevcut olabilecek e-posta güvenlik kontrollerini atlamalarına da yardımcı olabilir.
E-posta yazışmaları aynı zamanda devam eden bir ileti dizisinin parçası gibi görünebilir ve bazı durumlarda, bu grupların ikna edici e-posta dizileri oluşturmak için birden fazla kişiyi benimsediği bile gözlemlenmiştir, bu da bir uyum oluşturmaya yardımcı olur ve kurbanın daha eğilimli olabileceğine dair bir anlatı sunar. yanıtlamak için
Zararlı içerik paylaşma
Nihai olarak, kampanyaların amacı, aşağı akış kimlik bilgilerinin çalınmasına ve gizliliğinin ihlal edilmesine yol açabilecek kötü amaçlı belgeleri veya kimlik avı web sitelerine bağlantılar paylaşmaktır. Gözlemlenen kampanyalarda, bu bağlantıların çoğu Zoom toplantı URL’leri olarak gizlenmişti.
NCSC, iki kampanya birçok benzerliği paylaşsa da, bunların bağlantılı olduğuna veya TA453 ile Seaborgium’un işbirliği yaptığına dair hiçbir kanıt bulamadığını vurguladı.
NCSC, hedeflenen sektörlerde çalışan insanlara özellikle dikkatli olmalarını ve tehlikeye girme şanslarını büyük ölçüde azaltabilecek bir dizi temel siber güvenlik ilkesini benimsemelerini tavsiye ediyor.
Bunlar, e-posta hesaplarında güçlü ve ayrı parolalar kullanmayı, mümkün olan yerlerde çok faktörlü kimlik doğrulamayı etkinleştirmeyi, aygıtları ve ağları yamalanmış ve güncel tutmayı, sağlayıcılardan otomatik e-posta tarama özelliklerini etkinleştirmeyi ve posta yönlendirmeyi devre dışı bırakmayı içerir. Ek olarak, her zaman olduğu gibi, yakın bir kişiden geliyor gibi görünseler bile beklenmedik e-postaları açarken sağlıklı bir şüphecilik düzeyini korumak önemlidir.
Ulusal Altyapıyı Koruma Merkezi’nin ayrıca, bireylerin kötü niyetli çevrimiçi profilleri belirlemesine ve hedef alınma riskini azaltmasına yardımcı olabilecek Bağlantı Kurmadan Önce Düşün adlı bir uygulaması vardır.