Rus devlet destekli bilgisayar korsanlığı grubu Star Blizzard, kötü amaçlı QR kodları aracılığıyla WhatsApp kullanıcılarını sömürmek için taktiklerini değiştirdi.
Bu, grubun geçmişte hükümet yetkililerini, diplomatları, savunma araştırmacılarını ve Ukrayna ile bağlantılı kuruluşları hedef alan hedef odaklı kimlik avı kampanyalarında önemli bir gelişmeye işaret ediyor.
Microsoft Tehdit İstihbaratı tarafından Kasım 2024 ortasında gözlemlenen kampanya, grubun uyum sağlama yeteneğini ve tespitten kaçma konusundaki kararlılığını vurguluyor.
Callisto Group veya ColdRiver olarak da bilinen Star Blizzard, kimlik bilgilerini çalmak ve hassas verileri sızdırmak için geleneksel olarak hedef odaklı kimlik avı e-postalarına güveniyordu. Ancak bu son kampanya, WhatsApp’ın bir saldırı vektörü olarak belgelenen ilk kullanımını temsil ediyor.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Grup, ABD hükümet yetkililerini taklit eden e-postalar göndererek ve Ukraynalı STK’ları desteklemeye odaklanan bir WhatsApp grubuna katılma fırsatı sunarak bireyleri hedef aldı.
Microsoft, e-postaların gruba bağlantı veriyor gibi görünen ancak alıcıların daha fazla talimat için yanıt vermesini sağlamak amacıyla kasıtlı olarak kırılan bir QR kodu içerdiğini söyledi.
Kötü Amaçlı Bağlantılara Sahip QR Kodu
Hedef yanıt verdikten sonra Star Blizzard, Microsoft Güvenli Bağlantılar’a sarılmış kısaltılmış bir bağlantı içeren ikinci bir e-posta gönderdi. Bu, kurbanları başka bir QR kodunu taramaya yönlendiren bir web sayfasına yönlendirdi.
Kodun taranması, bir WhatsApp grubuna katılmak yerine, saldırganların kurbanın WhatsApp hesabını WhatsApp Web aracılığıyla kendi cihazlarına bağlamasını sağladı. Bu, Star Blizzard’ın özel mesajlara erişmesine ve WhatsApp mesajlarını dışa aktarmak için tasarlanmış tarayıcı eklentilerini kullanarak verileri sızdırmasına olanak tanıdı.
Kampanya, Star Blizzard’ın altyapısındaki önemli aksaklıklar sonrasında taktiklerini uyarlama becerisinin altını çiziyor. Ekim 2024’te Microsoft ve ABD Adalet Bakanlığı, grup tarafından kimlik avı operasyonları için kullanılan 180’den fazla alanı kaldırdı.
Bu aksaklıklara rağmen Star Blizzard hızla yeni yöntemlere geçerek dayanıklılığını gösterdi.
QR kodlarının kullanılması operasyonlarına başka bir karmaşıklık katmanı ekler. QR kodu kimlik avının (veya “quishing”) tespit edilmesi özellikle zordur çünkü kötü amaçlı URL’yi e-posta güvenlik araçlarından gizler.
Bu taktik, kullanıcıların pandemi sırasında daha yaygın hale gelen QR kodlarına olan artan güveninden yararlanıyor.
Star Blizzard’ın hedefleri önceki kampanyalarıyla tutarlı olmaya devam ediyor:
- Hükümet yetkilileri ve diplomatlar
- Savunma politikası araştırmacıları
- STK’lar ve düşünce kuruluşları
- Ukrayna’ya yardım sağlayan kişi ve kuruluşlar
Grup, açık kaynaklı istihbarat ve sosyal medya platformlarını kullanarak hedeflerini titizlikle araştırıyor. Hedeflerinin alanlarındaki güvenilir kişileri veya tanınmış kişileri taklit ederek son derece ikna edici kimlik avı tuzakları hazırlıyorlar.
Azaltıcı Önlemler
Bu tür tehditlere karşı koymak için Microsoft Tehdit İstihbaratı, yüksek riskli sektörlerdeki bireyler ve kuruluşlar arasında daha dikkatli olunmasını önerir. Spesifik önlemler şunları içerir:
- E-postanın orijinalliğini doğrulama: Bağlantılara yanıt vermeden veya tıklamadan önce her zaman gönderenin kimliğini bilinen kanallar aracılığıyla doğrulayın.
- İstenmeyen e-postalarda QR kodlarından kaçınma: Kaynakları doğrulanmadıkça tüm QR kodlarına dikkatli davranın.
- Kimlik avına karşı dayanıklı çok faktörlü kimlik doğrulamayı (MFA) uygulama: Donanım güvenlik anahtarları gibi araçlar, kimlik bilgileri tehlikeye girse bile yetkisiz hesap erişimini önleyebilir.
- Düzenli siber güvenlik eğitimi: Çalışanları gelişen kimlik avı taktikleri konusunda eğitmek, tehlike işaretlerini fark etmelerine yardımcı olabilir.
Kuruluşların ayrıca karmaşık hedef odaklı kimlik avı girişimlerini tespit etme ve olağandışı etkinlikleri izleme kapasitesine sahip gelişmiş e-posta güvenlik çözümlerini dağıtmaları da teşvik ediliyor.
Star Blizzard’ın faaliyetleri, devlet destekli siber tehditlerin artan karmaşıklığına dikkat çekiyor. Kampanyaları yalnızca casusluğu amaçlamıyor, aynı zamanda demokratik süreçleri bozmayı ve jeopolitik dinamikleri etkilemeyi de amaçlıyor.
Siber saldırganlar yenilik yapmaya devam ettikçe hükümetler ve özel kuruluşların bu tür inatçı düşmanlara karşı savunmayı güçlendirmek için yakın işbirliği yapması gerekiyor.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri