Rusya bağlantılı tehdit aktörleri hem PysOps’u hem de yemleme kancası Ukrayna’da yanlış bilgi yaymayı ve Avrupa çapında Microsoft 365 kimlik bilgilerini çalmayı amaçlayan çok dalgalı bir kampanyayla 2023’ün sonunda birkaç ay boyunca kullanıcıları hedef alacak.
ESET araştırmacıları, Texonto Operasyonu olarak adlandırılan operasyonun, ilki Ekim-Kasım 2023’te ve ikincisi Kasım-Aralık 2023’te olmak üzere iki farklı dalga halinde gerçekleştiğini keşfetti. Kampanyanın ana dağıtım yöntemi olarak çeşitli pysop taktikleri ve spam postalar kullandığı ortaya çıktı bir blog yazısında 22 Şubat’ta yayınlandı.
Kronolojik olarak ilk kampanya, Ekim 2023’te Ukraynalı bir savunma şirketini ve Kasım 2023’te bir AB kurumunu hedef alan bir hedef odaklı kimlik avı saldırısıydı. İkincisi, ısınma kesintileri, ilaç kıtlığı ve benzeri konuları kullanan, esas olarak Ukrayna hedeflerine odaklanan bir dezenformasyon kampanyasıydı. Araştırmacılar, yiyecek kıtlığının “Rus propagandasıyla ilgili kampanyanın tipik temaları” olduğunu söyledi.
Farklı amaçları olsa da her ikisi de benzer ağ altyapısını kullanıyordu; bu da ESET’in ikisini birbirine bağlamasını sağladı. Daha sonra, olay örgüsünün biraz değişmesiyle, Texonto Operasyonu ile ilişkili bir URL, Ocak ayında gerçekleşen ayrı bir kampanyada tipik Kanada eczane spam’ını gönderecekti.
Rusya-Ukrayna Hibrit Savaşı
Tehdit kampanyaları Rusya’ya yakın tehdit aktörleri tarafından kullanılıyor: Kum kurdu Ve Gamaredon içinde bir siber savaş Ukrayna ile bu eşzamanlı çalıştırmak ESET’e göre iki yıllık kara operasyonuyla. Özellikle kum kurdu kullanılmış silecekler ile Ukrayna BT altyapısını bozuyor Savaşın başlarında Gamaredon son zamanlarda siber casusluk operasyonlarını hızlandırdı.
Araştırmacılar gönderide “Texonto Operasyonu, teknolojilerin savaşı etkilemeye yönelik başka bir kullanımını gösteriyor” diye yazdı, ancak operasyonu belirli bir aktöre atfetmediler. “Birkaç tipik sahte Microsoft giriş sayfası bulduk, ancak en önemlisi, muhtemelen Ukrayna vatandaşlarını etkilemeye ve onları Rusya’nın kazanacağına inandırmaya çalışan e-postalar yoluyla iki casusluk dalgası vardı.”
Araştırmayı yöneten ESET araştırmacısı Matthieu Faou, Dark Reading’e gönderdiği bir e-postada, Texonto Operasyonunun tipik kötü amaçlı faaliyetlerden diğer önemli sapmaları da gösterdiğini belirtiyor.
“Texonto Operasyonu vakasında ilginç olan şey, aynı tehdit aktörünün hem dezenformasyona hem de hedef odaklı kimlik avı kampanyalarına bulaşması, tehdit aktörlerinin çoğunun ise bunlardan birini ya da diğerini yapmasıdır” diye gözlemliyor. “Bu nedenle, bunun sadece internette yanlış bilgi yayınlayan biri değil, planlı bir casusluk operasyonu olduğu açık.”
Araştırmacılar, kampanyanın aynı zamanda kötü niyetli mesajları iletmek için Telegram veya sahte web siteleri gibi yaygın kanalları kullanmaktan da uzaklaşıldığını gösterdiğini belirtti.
İki Farklı Dalga
Operasyonun ilk işareti Ekim ayında, Ukrayna’nın büyük bir savunma şirketinde çalışan çalışanların bir sertifika almasıyla geldi. Kimlik avı e-postası BT departmanından olduğu iddia ediliyor. Mesaj, posta kutularının kaldırılabileceği ve oturum açmak için posta kutusunun Web sürümüne giden bir bağlantıya tıklamaları ve kimlik bilgilerini kullanarak oturum açmaları gerektiği konusunda uyardı.
Bağlantı bunun yerine bir kimlik avı sayfasına yönlendiriyor; ESET araştırmacıları, VirusTotal’a gönderilen işleme ait başka bir etki alanından bunun Microsoft 365 kimlik bilgilerini çalmaya yönelik sahte bir Microsoft oturum açma sayfası olduğunu tahmin ettiler, ancak kimlik avı sayfasını geri alamadılar.
Kampanyanın bir sonraki dalgası ilk pysops operasyonuydu. dezenformasyon Ukrayna hükümeti ve enerji şirketleri için çalışan en az birkaç yüz kişiye ve ayrıca bireysel vatandaşlara PDF eki içeren e-postalar.
Ancak daha önce açıklanan kimlik avı kampanyasının aksine, bu e-postaların amacının, kötü niyetli bağlantılar yaymak yerine, Ukraynalıların zihnine şüphe sokmak için tamamen dezenformasyon olduğu ortaya çıktı.
Kampanyadaki e-postalar, potansiyel yiyecek, ısınma ve ilaç sıkıntısı konusunda alıcıları bilgilendiriyordu; bunlardan biri, “güvercinli risotto” yemelerini önerecek kadar ileri gitti ve hatta “bu belgelerin bilerek oluşturulduğunu gösteren” canlı bir güvercin ve pişmiş bir güvercinin fotoğraflarını bile sundu. okuyucuları sinirlendirmek için” dedi araştırmacılar.
“Genel olarak mesajlar yaygın Rus propaganda temalarıyla örtüşüyor” diye yazdılar. “Ukrayna halkını, Rusya-Ukrayna savaşı nedeniyle uyuşturucu, yiyecek ve ısınmaya sahip olamayacaklarına inandırmaya çalışıyorlar.”
İkinci aşama pysops dalgası Aralık ayında meydana geldi ve Ukrayna hükümetinden İtalyan ayakkabı üreticisine kadar değişen birkaç yüz hedeften oluşan rastgele bir diziyle diğer Avrupa ülkelerine yayıldı, ancak yine de Ukraynaca yazıldı. Araştırmacılar, kampanyada Ukraynalıları aşağılamak ve cesaretlerini kırmak amacıyla alaycı tatil tebrikleri gönderen iki farklı e-posta şablonu keşfettiler.
Kötü Amaçlı Alan Adları ve Savunma Taktikleri
Araştırmacılar çoğunlukla Texonto Operasyonu’na dahil olan siber suçlulara ayak uydurmak için alan adlarını takip etti ve bu da onları bazı ilginç yollara sürükledi. Bunlardan biri, saldırganlar tarafından işletilen bir e-posta sunucusunu kullanan, “yasa dışı iş kategorisi” olan, görünüşte ilgisiz ama tipik bir Kanada eczane spam kampanyasıydı. [that] Rus siber suç camiasında çok popüler oldu” dediler.
Kampanyayla ilişkili diğer alan adları, 16 Şubat’ta hapishanede ölen tanınmış Rus muhalefet lideri Alexei Navalny’nin ölümü gibi daha güncel güncel olayları yansıtıyordu. Donanma oyları da dahil olmak üzere bu alanların varlığı[.]net, navalny-votesmart[.]net ve denizde oylama[.]net – araştırmacılar, “Texonto Operasyonunun muhtemelen Rus muhalifleri hedef alan hedef odaklı kimlik avı veya bilgi operasyonlarını içerdiği anlamına geliyor” diye yazdı.
ESET, raporlarında alanlar, e-posta adresleri ve MITRE ATT&CK teknikleri dahil olmak üzere bir dizi güvenlik ihlali göstergesine (IOC) yer verdi. Araştırmacılar ayrıca kuruluşların güçlü iki faktörlü kimlik doğrulama Faou, Office 365’i hedef alan kimlik avı saldırılarına karşı savunma sağlamak için bir telefon kimlik doğrulama uygulaması veya fiziksel anahtar gibi bir şeyin kullanıldığını söylüyor.
Kötü niyetli aktörlerin çevrimiçi dezenformasyon yayma girişimlerine karşı savunma konusunda “en iyi koruma, eleştirel zihniyetimizi kullanmak ve İnternet’teki hiçbir bilgiye güvenmemektir” diye ekliyor.