Son zamanlarda, bir tehdit istihbarat firması olan Cluster25, özellikle Rus hükümetini eleştiren ve muhalif hareketlerle uyumlu kuruluşları hedef alan “Ayı ve Kabuk” adlı bir hedef odaklı kimlik avı kampanyasını ortaya çıkardı.
Kampanya, kurbanları kandırmak için görünürde meşru tuzaklar kullanarak sosyal mühendislik taktiklerinden yararlanıyor.
Bir örnek, bir iş teklifi olarak gizlenmiş bir ZIP dosyası içeren NASA temalı bir e-postayı içerir. Dosya açıldığında, HTTP-Shell adlı çok platformlu bir ters kabuğu serbest bırakarak saldırganların kurbanın sistemine uzaktan erişmesine olanak tanıyor.
Bu kabuk, açık kaynak olmasına rağmen, kötü amaçlarla değiştirilebilir; dosya aktarımlarına, dizin gezinmesine ve bir komut ve kontrol (C&C) sunucusuna bağlantı kurulmasına olanak tanır.
Bu durumda, C&C sunucusu, tespitten daha fazla kaçınmak için bir PDF düzenleme sitesi kılığına girdi.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
NASA’nın Ötesinde: Daha Geniş Bir Aldatma Ağı
Soruşturma tek bir saldırıdan fazlasını ortaya çıkardı. 25. Küme, çarpıcı benzerliklere sahip ek kampanyalar keşfetti.
Hepsi aynı öldürme zincirini kullandı, aynı kısayol simgelerini kullandı ve bazı yem temalarını paylaştı. Bu kanıt, çeşitli bireyleri ve kuruluşları hedef alan koordineli bir çabaya işaret ediyor.
Kampanya, farklı hedefleri tuzağa düşürmek için farklı temaları birleştirerek, kapsamını NASA temalı bir yemin ötesine genişletti.
Taktiklerden biri, Amerika Birleşik Devletleri Uluslararası Kalkınma Ajansı’nın itibarını istismar eden USAID temalı bir saldırıyı içeriyordu.
Bir diğeri, Hollanda merkezli araştırmacı gazetecilik grubu Bellingcat’i hedef alarak kampanyanın küresel erişimini vurguladı.
Ayrıca The Bell ve Verstka gibi bağımsız Rus medya kuruluşlarındaki makaleler yem olarak kullanıldı ve saldırganların Rus hükümetini eleştiren topluluklara sızma girişimlerini ortaya koydu.
Atıf: Parmağı Ayıya İşaret Etmek
Kesin bir atıf hala zor olsa da, kanıtlar Rus devleti destekli bir tehdit aktörüne işaret ediyor.
Kampanyanın hedefleri, önceki Sliver işaret faaliyetiyle bağlantılı altyapı kullanımıyla birleştiğinde, Rus hükümeti adına faaliyet gösteren aktörlerle bir bağlantı olduğunu gösteriyor.
Bu durum, muhalifleri bastırmayı ve eleştirel sesleri susturmayı amaçlayan hedefli siber saldırılara ilişkin endişeleri artırıyor.