Access Now ve diğer sivil toplum örgütleriyle işbirliği yapan Citizen Lab, Rusya’nın küresel çaptaki düşmanlarına yönelik yeni bir kimlik avı kampanyası olan “Kimlik Avı Nehirleri” olarak adlandırılan karmaşık bir saldırıyı açığa çıkardı.
Gerçekleri ortaya çıkarma çabaları, koordineli hedefli kimlik avının, çok sayıda ülkede ve sivil toplum kesiminde belirli kişileri hedef aldığını ortaya koydu.
Tehdit aktörü, aktivistlerin, gazetecilerin ve insan hakları savunucularının güvenliğini tehlikeye atmak için gelişmiş dijital hedefleme teknikleri benimsedi.
Easily analyze emerging malware with ANY.RUN interactive online sandbox - Try 14 Days Free Trial
Teknik Analiz
COLDRIVER, Star Blizzard ve TA446 olarak da bilinen, Rusya FSB tarafından desteklenen bir grup olup, muhalif figürleri, gazetecileri, STK’ları, akademisyenleri ve Rusya, Ukrayna ve Belarus ile ilgilenen politikacıları hedef alan “River of Phish” adlı iyi tasarlanmış bir kimlik avı kampanyasından sorumludur.
Saldırganlar, yem olarak tanıdık kişilermiş gibi görünen son derece kişiselleştirilmiş e-postalar kullanıyor ve kötü amaçlı yazılımlar genellikle PDF dosyaları biçiminde şifreleniyor.
Bunlar, oturum açma kimlik bilgilerini çalan ve iki faktörlü kimlik doğrulama sistemlerini aşan kimlik avı sitelerine bağlantılar içerir. Ayrıca, PDF’ler genellikle benzer meta veri yapılarına ve İngilizce yazar adlarına sahiptir.
.webp)
Bu kampanyanın altyapısı, birinci aşama alan adlarında hedef parmak izi için JavaScript’in etkinleştirildiği Hostinger’a kayıtlı alan adlarına dayanmaktadır.
“Hedef bağlantıya tıklarsa, tarayıcısı saldırganın sunucusundan hedefin sisteminin parmak izini hesaplayan ve bunu sunucuya gönderen JavaScript kodunu alacaktır”
Mağdurlar arasında Proekt Media’dan Polina Machold ve eski ABD Büyükelçisi Steven Pifer gibi tanınmış isimler de yer alıyor.
Kampanya, internette görünmekten kaçınmak için kullanılan değişen tekniklerin bir göstergesi; örneğin alan adı kaydı için Namecheap’ten Hostinger’a geçiliyor.
Benzer operasyonlara sahip ancak COLDWASTREL adı verilen başka bir kampanya daha tespit edildi; bu sefer farklı PDF özellikleri kullanılıyor ve altyapı, Rus siber casusluk faaliyetlerini içerecek şekilde karmaşık bir ortam gösteriyor.
Bu davranış, Rus devletinin daha geniş amaçlarıyla örtüşmekte olup, özellikle Rusya topraklarındaki mağdurlar için ciddi bir tehlike oluşturmaktadır.
Gelişmiş yeteneklere sahip olmalarına rağmen, Rusya’nın FSB’si gibi devlet destekli tehdit aktörleri, maliyet açısından etkili olması ve yüksek başarı oranına sahip olması nedeniyle kişiselleştirilmiş kimlik avına güveniyorlar.
Bu tür kampanyalar, her başarılı uzlaşmanın gelecekteki saldırılar için bilgi sağladığı bir etkileşimle, son derece inandırıcı yemler geliştirmek için kapsamlı istihbarat toplamayı kullanır.
Bu ısrar, COLDRIVER’ın muhtemelen devlet sponsorluğundan kaynaklanan risk alma pozisyonunu yansıtmaktadır.
Çoğu durumda bu kampanyalar, siber güvenlik raporlamalarında sıklıkla göz ardı edilen hükümet ve sanayi sektörlerinin yanı sıra sivil topluma da odaklanıyor.
Rus Siber Casusluk faaliyetinin karmaşık yapısı nedeniyle, SVR, GRU ve FSB gibi farklı kurumlar bu alanda yer almakta, bazen birlikte çalışmakta, birbirleriyle rekabet etmekte, hatta bazen tehdit aktörleriyle iş birliği yapmaktadır.
Rusya bağlantılı aktörler, kimlik avının yanı sıra sansür, takip kampanyaları, hesap ele geçirme ve gelişmiş sosyal mühendislik yöntemleri gibi sivil topluma karşı çeşitli dijital düşmanca taktikler kullanıyor.
Bu çok boyutlu strateji, özellikle tahliyeler veya Rusya sorunları üzerinde çalışan aktivistler, gazeteciler ve STK’lar için inanılmaz derecede tehlikelidir; bu, bu savunmasız hedefleri anlamanın ve korumanın ne kadar önemli olduğunu göstermektedir.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Öneriler
Aşağıda tüm önerilerimizi belirttik:
- İki faktörlü kimlik doğrulamayı kullanın.
- Yüksek riskli kullanıcılar için olan programlara kaydolun.
- Bilinmeyen bir göndericiden gelen e-postadaki şüpheli bağlantılara tıklamayın.
- “Şifrelenmiş” veya “korunmuş” PDF’lere dikkat edin.
- Her zaman sağlam güvenlik çözümleri kullanın.
- Karmaşık şifreler kullanın ve şifrelerinizi sık sık değiştirmeye özen gösterin.
Uzlaşma Göstergeleri
COLDRIVER PDF Karma Değerleri
| b07d54a178726ffb9f2d5a38e64116cbdc361a1a0248fb89300275986dc5b69d |
| 0ded441749c5391234a59d712c9d8375955ebd3d4d5848837b8211c6b27a4e88 |
| efa2fd8f8808164d6986aedd6c8b45bb83edd70ca4e80d7ff563a3fbc05eab89 |
| c1fa7cd73a14946fc760a54ebd0c853fab24a080cbf6b8460a949f28801e16fc |
| 603221a64f2843674ad968970365f182c228b7219b32ab3777c265804ef67b0a |
| df9d77f3e608c92ef899e5acd1d65d87ce2fdb9aab63bbf58e63e6fd6c768ac3 |
| 384d3027d92c13da55ceef9a375e8887d908fd54013f49167946e1791730ba22 |
| 79f93e57ad6be28aae62d14135140289f09f86d3a093551bd234adc0021bb827 |
| 00664f72386b256d74176aacbe6d1d6f6dd515dd4b2fcb955f5e0f6f92fa078e |