OilAlpha Hacker Grubu İnsani Yardım ve İnsan Hakları Örgütlerine Saldırıyor

Husi yanlısı bir grup olan OilAlpha, Yemen’deki insani yardım kuruluşlarını kötü amaçlı Android uygulamalarıyla hedef alıyor, kimlik bilgilerini çalıyor ve istihbarat topluyor, yardım dağıtımını aksatma potansiyeli taşıyor.

Uygulamalar hassas verileri hedef alıyor ve kamera ve SMS erişimi gibi müdahaleci izinler gerektiriyor. Hedeflenen kuruluşlar arasında CARE International ve Norwegian Refugee Council yer alıyor.

Husi yanlısı tehdit aktörü OilAlpha, sosyal mühendislik taktiklerinden yararlanarak, STK’lar tarafından kullanılan meşru uygulamalar gibi görünen sahte uygulamaları indirmeleri için kurbanları kandırarak, Yemen’deki insani yardım kuruluşlarını kötü amaçlı Android uygulamalarıyla hedef almaya devam ediyor.

Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files

Kimlik Bilgilerini Çalan Kötü Amaçlı Yazılım

Yüklendikten sonra, kötü amaçlı yazılım kimlik bilgilerini çalar ve insani operasyonlar hakkında istihbarat toplar, bu da OilAlpha’nın kendi gündemi için yardım dağıtımını manipüle etmesine olanak tanır. Bu, STK’lara yönelik siber saldırıların oluşturduğu sürekli tehdidi ve insani yardım kuruluşları içinde sağlam siber güvenlik önlemlerine olan ihtiyacı vurgular.

İnsani yardım kuruluşlarını hedef alan yeni bir kötü amaçlı mobil uygulama dalgası keşfedildi. Husi yanlısı grup OilAlpha ile bağlantılı olan bu Android uygulamaları, CARE International ve Norwegian Refugee Council gibi saygın kuruluşların çalışanlarını hedef alıyor.

Uygulamalar, kameralara, mikrofonlara, SMS’lere ve kişilere erişim de dahil olmak üzere aşırı izinler talep ediyor ve bu da Uzaktan Erişim Truva Atı (RAT) işlevselliğinin göstergesi ve OilAlpha’nın hedef personelden kimlik bilgilerini ve hassas bilgileri çalmayı amaçladığını gösteriyor.

Kssnew.online etki alanında barındırılan bir kimlik bilgisi hırsızlığı portalı, bu uygulamaları destekleyen altyapıyı oluşturan bileşenlerden bazılarıdır.

Haziran 2024’te OilAlpha, Norveç Mülteci Konseyi ve CARE International’ı hedef alan üç kötü amaçlı Android uygulaması keşfedildi.

“Cash Incentives.apk” olarak gizlenen uygulamalar, Uzaktan Erişim Truva Atı’nın (RAT) karakteristiği olan kamera, ses, SMS ve kişi erişimi gibi müdahaleci izinler talep ediyor. Bu, saldırganın hedef cihazların yetkisiz uzaktan kontrolünü ele geçirme niyetini gösteriyor.

Insikt Group’un yaptığı araştırmanın ardından yukarıda belirtilen STK’ları hedef alan iki kötü amaçlı uygulama daha ortaya çıktı; bu da kimlik bilgilerini ve hassas bilgileri çalmayı amaçlayan daha geniş bir kampanyanın varlığını gösteriyor.

OilAlpha, insani yardım kuruluşlarını hedef almak için bir kimlik bilgisi hırsızlığı portalı (kssnew.com) kullanıyor. Portal, meşru oturum açma sayfalarını taklit ederek kullanıcıları kimlik bilgilerini girmeye kandırıyor.

Girildikten sonra saldırganlar kimlik bilgilerini çalar. Kimlik avı olarak bilinen bu taktik, teknik güvenlik önlemlerini atlatmak ve gizli verilere yetkisiz erişim elde etmek için sosyal mühendisliği kullanır.

Kuruluşlar, çok yönlü bir yaklaşım uygulayarak sosyal mühendislik saldırılarına karşı savunmalarını güçlendirebilirler.

Öncelikle, veri işleme ve erişimi konusunda kabul edilebilir kullanıcı davranışlarını ana hatlarıyla belirlemek amacıyla bilgi güvenliği politikaları oluşturulmalıdır.

İkinci olarak, sosyal mühendislik ve kimlik avı farkındalığını teşvik eden düzenli eğitim oturumları, çalışanları bu girişimleri tespit edip saptırma konusunda donatabilir. Son olarak, güçlü parola protokollerini uygulamak ve çok faktörlü kimlik doğrulamayı devreye sokmak, yaygın bir sosyal mühendislik hedefi olan kimlik bilgisi hırsızlığının başarı oranını önemli ölçüde azaltır.

“Sisteminiz Saldırı Altında mı? Cynet XDR’yi deneyin: Uç Noktalar, Ağlar ve Kullanıcılar için Otomatik Algılama ve Yanıt!” – Ücretsiz Demo