Microsoft Tehdit İstihbaratı, kötü şöhretli Rus tehdit aktörü grubu “Star Blizzard”ın endişe verici bir stratejik değişimini tespit etti. Hükümet, diplomatik ve sivil toplum sektörlerini hedef alan hedef odaklı kimlik avı kampanyalarıyla tanınan grup, artık taktiklerini WhatsApp hesaplarını tehlikeye atacak şekilde genişletti.
Kasım 2024’ün ortalarında Microsoft, Star Blizzard’ın kimlik avı kampanyalarında yeni bir yöntem kullandığını gözlemledi.
Geçmişte e-posta iletişimlerini hedef alan grup, WhatsApp’ı bir saldırı vektörü olarak kullanmaya başladı.
Hedef odaklı kimlik avı e-postaları kullanarak, “Ukrayna STK’larını destekleyen hükümet dışı girişimler” hakkındaki güncellemeleri paylaştığını iddia eden bir WhatsApp grubuna sahte erişim sunarak mağdurları kandırdılar.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
WhatsApp’ı Hedef Almak İçin Tanıdık Taktikleri Kullanmak
Kimlik avı kampanyası iki adımlı bir e-posta şeması içeriyordu. ABD’li bir hükümet yetkilisinden geldiği iddia edilen ilk e-posta, alıcıları “Ukrayna STK’larını desteklemeyi amaçlayan sivil toplum girişimleri” hakkında güncellemeler sunan bir WhatsApp grubuna yönlendirdiğini iddia eden bir hızlı yanıt (QR) kodu içeriyordu.
Ancak QR kodu, alıcıların e-postayı yanıtlamasını sağlamak için kasıtlı olarak kırıldı. Star Blizzard, bir yanıt aldıktan sonra, görünüşte güvenli bir “Güvenli Bağlantılar” biçimine sarılmış, kısaltılmış, kötü amaçlı bir bağlantı içeren ikinci bir e-posta gönderdi.
Bağlantıya tıklamak, kurbanları başka bir QR kodunu taramalarını isteyen bir kimlik avı web sayfasına yönlendiriyordu.
Bu adım, hedeflenen gruba katılmak yerine, saldırganların kurbanların WhatsApp hesaplarını WhatsApp Web aracılığıyla bilgisayar korsanlarının cihazlarına bağlamasını sağladı.
Bu, Star Blizzard’ın kurbanların mesajlarına yetkisiz erişim sağlamasına ve tarayıcı eklentilerini kullanarak hassas verileri sızdırmalarına olanak tanıdı.
Kötü Amaçlı Kimlik Avı İş Başında
Microsoft, saldırıyı detaylandıran ekran görüntülerini paylaştı. Kimlik avı web sayfası ikna edici görünüyordu ve kurbanlara “bir cihazı bağlamak” için düzeltilmiş QR kodunu taramaları talimatını veriyordu.
Ancak bu süreç, tehdit aktörlerinin WhatsApp’ın cihaz bağlama özelliğinden kendi çıkarları için yararlanmasına olanak tanıdı. Bu meşru yeteneği kötüye kullanarak özel iletişimlere erişim sağladılar.
Bu kampanya sınırlı olsa ve Kasım 2024’ün sonunda tamamlandığı bildirilse de analistler, bunun Star Blizzard’ın taktiklerinde bir evrime ve operasyonlarındaki aksamalara rağmen yüksek değerli bireyleri hedeflemedeki ısrarına işaret ettiğini belirtiyor.
Microsoft raporuna göre, WhatsApp odaklı kampanyanın sınırlı olduğu ve Kasım 2024’ün sonunda durdurulduğu bildirilse de bu, grubun uyum sağlama yeteneğini ve ortaya çıkan güvenlik açıklarından yararlanma konusundaki kararlılığını gösteriyor.
Star Blizzard öncelikle aşağıdakilerle ilgili kişi ve kuruluşları hedefler:
- Hükümet ve diplomasi (mevcut ve eski yetkililer)
- Savunma politikası ve uluslararası ilişkiler, özellikle Rusya ile ilgili
- Devam eden çatışmanın ortasında Ukrayna’ya yardım sağlayan kuruluşlar
Grup ayrıca daha önce hassas bilgileri sızdırmayı ve kritik faaliyetleri aksatmayı amaçlayan gazetecileri, düşünce kuruluşlarını ve STK’ları da hedef alıyordu.
Microsoft, bu tür karmaşık tehditlere karşı dikkatli olmanın ve proaktif savunma stratejilerinin öneminin altını çiziyor. Temel öneriler şunları içerir:
- Uç Nokta için Microsoft Defender’ı Uygulama QR kodu tabanlı saldırılar da dahil olmak üzere kimlik avı girişimlerini engellemek için.
- Ağ korumasını etkinleştirme ve güvenlik çözümlerinde kurcalamaya dayanıklı ayarlar.
- Blok modunda uç nokta algılama ve yanıt çözümlerini kullanma Otomatik tehdit azaltma için.
- Bulutla sağlanan korumayı benimseme ve hızla gelişen taktiklere karşı koymak için gerçek zamanlı antivirüs güncellemeleri.
- QR kodu eğitim simülasyonlarını kullanma Çalışanları kimlik avı yöntemleri konusunda eğitmek.
- E-postanın orijinalliğini doğrulama Bilinen e-posta adreslerini kullanan gönderenlerle bağımsız olarak iletişime geçerek.
Microsoft ayrıca, Office 365’teki Güvenli Bağlantılar ve Güvenli Ekler gibi araçların kullanılmasını ve kötü amaçlı siteleri engellemek için Microsoft Edge’in SmartScreen’i gibi tarayıcı savunmalarından yararlanılmasını da önerir.
Star Blizzard’ın son kampanyası, sürekli izleme ve farkındalık ihtiyacını vurgulayarak siber tehditlerin gelişen ortamını öne çıkarıyor. Microsoft, hedeflenen müşterileri doğrudan bilgilendirme ve Star Blizzard gibi karmaşık rakiplere karşı savunmayı güçlendirmek için ayrıntılı tehdit istihbaratını paylaşma sözü verdi.
Siber savaş taktikleri geliştikçe, dünya çapındaki kuruluşların uyanık kalması, sağlam siber güvenlik önlemleri alması ve bu kalıcı tehditleri etkili bir şekilde azaltmak için işbirliğini teşvik etmesi gerekiyor.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri