Rusya ile şüpheli olan tehdit aktörlerinin, kurbanların e -postalarına erişmek için tasarlanmış yeni bir sosyal mühendislik taktikinin bir parçası olarak uygulamaya özgü şifreler (veya uygulama şifreleri) adı verilen bir Google hesap özelliğinden yararlandığı gözlenmiştir.
Yüksek hedeflenen kampanyanın detayları Google Tehdit İstihbarat Grubu (GTIG) ve Citizen Lab tarafından açıklandı ve faaliyetin ABD Dışişleri Bakanlığı’nı taklit etmeyi amaçladığını belirtti.
“Bu aktör, en az Nisan ayından Haziran başlarına kadar, önde gelen akademisyenleri ve Rusya’nın eleştirmenlerini hedef aldı, genellikle kapsamlı uyum binası ve hedefi uygulamaya özgü şifreler (ASP) kurmaya ikna etmek için uyarlanmış yemleri kullandı.
“Hedef ASP parodu paylaştığında, saldırganlar kurbanın posta kutusuna sürekli erişim sağlar.”
Etkinlik, Google tarafından UNC6293 olarak izlediği bir tehdit kümesine atfedildi, bu da muhtemelen APT29 adlı Rus devlet destekli hack grubuna bağlı olduğunu söyledi (aka Bluebravo, gizlenmiş ursa, cozylarch, rahat ayı, icecap, gece yarısı blizzard ve dükler).
Sosyal mühendislik, başka türlü şüphe uyandırmış olabilecek bir baskı veya aciliyet duygusu uyandırmak yerine, hedeflerle ilişki kurmak için birkaç hafta boyunca ortaya çıkıyor.
Bu, CC hattındaki “@State.gov” e -posta adresi ile en az dört farklı hayali adres içeren toplantı davetiyeleri olarak gizlenmiş iyi huylu kimlik avı e -postalarının gönderilmesini içerir.
Citizen Lab, “Bir hedef, bu meşru değilse, kesinlikle bu Dışişleri Bakanlığı çalışanlarından biri, özellikle de onları CC hattında cevaplar ve tutarsam bir şey söylerdi” dedi.
“Saldırganın Dışişleri Bakanlığı’nın e -posta sunucusunun görünüşe göre tüm mesajları kabul edecek şekilde yapılandırıldığının ve adres mevcut olmasa bile bir ‘sıçrama’ yanıtı yaymadığının farkında olduğuna inanıyoruz.”
Bu, bu saldırıların kurbanları, “dahili çalışanlar ve harici ortaklar arasında güvenli iletişimin” sağlama bahanesiyle posta kutusuna erişme iznini veren 16 haneli bir parola ile ayrılmak için titizlikle planlandığını ve yürütüldüğünü göstermektedir.
Google, bu uygulama şifrelerini daha az güvenli bir uygulama veya cihaz için bir kullanıcının iki faktörlü kimlik doğrulama (2FA) etkinleştirilmiş Google hesabına erişme yeteneği olarak açıklar.
Şirket, “2 aşamalı doğrulama kullandığınızda, bazı daha az güvenli uygulamaların veya cihazların Google hesabınıza erişmesi engellenebilir.” “Uygulama şifreleri, engellenen uygulamanın veya cihazın Google hesabınıza erişmesine izin vermenin bir yoludur.”
İlk mesajlar, bir toplantı ayarlamak için hedeften bir yanıt vermek üzere tasarlanmıştır, daha sonra sahte bir devlet bulut ortamına güvenli bir şekilde erişmek ve kodu onlarla paylaşmak için bir uygulama şifresi oluşturmak için bir dizi adım listeleyen bir PDF belgesi gönderilir.
GTIG, “Saldırganlar daha sonra, muhtemelen kurbanın e -posta yazışmalarına erişmek ve okumak amacıyla ASP’yi kullanmak için bir posta istemcisi kurdu.” Dedi. “Bu yöntem aynı zamanda saldırganların hesaplara sürekli erişime sahip olmasını sağlar.”
Google, Ukrayna temaları taşıyan ikinci bir kampanya gözlemlediğini ve saldırganların tespitten kaçınmak için esas olarak konut vekilleri ve VPS sunucularını kullanarak kurban hesaplarına giriş yaptığını söyledi. Şirket, o zamandan beri kampanyalar tarafından tehlikeye atılan hesapları güvence altına almak için adımlar attığını söyledi.
UNC6293’ün APT29 ile olan bağları, yılın başından beri Microsoft 365 hesaplarına yetkisiz erişim elde etmek için cihaz kodu kimlik avı ve cihaz gibi yeni tekniklerden yararlanan bir dizi benzer sosyal mühendislik saldırısından kaynaklanıyor.
Cihaz Katılımı Kimlik avı, kurbanları hesaplarını kaçırmak için Microsoft tarafından oluşturulan bir OAuth kodu saldırganlara geri göndermeye kandırması nedeniyle özellikle dikkat çekicidir.
Microsoft geçen ay, “Nisan 2025’ten bu yana Microsoft, geçerli yetkilendirme kodu içeren kötü amaçlı bir bağlantı sunmak için yaklaşan toplantı davetlerine atıfta bulunan üçüncü taraf uygulama mesajlarını veya e-postaları kullanan Rus bağlantılı tehdit aktörlerini gözlemledi.”
“Tıklandığında bağlantı, cihaz kayıt hizmeti için bir jeton döndürür ve tehdit oyuncusunun cihazının kiracıya kaydedilmesine izin verir.”