Alıcı, satılık arabanın daha yüksek kaliteli fotoğraflarını vaat eden dosyayı tıkladığında, kötü amaçlı bir alana yönlendirilir. Kurban fotoğrafları görmeye çalışırken, arka planda kötü amaçlı yük yürütülür.
Palo Alto Networks’ün 42. Birim araştırmacıları, Cloaked Usra APT grubunun Ukrayna’nın Kiev kentindeki diplomatları hedef aldığı yeni bir kimlik avı kampanyası buldu. Grubun hedefine ulaşıp ulaşmadığı henüz belli değil. Ne olursa olsun, araştırmacılar bu kampanyada şaşırtıcı sayıda büyükelçiliğin hedef alındığına inanıyor ve bu da onu uğursuz bir APT operasyonu yapıyor.
Kampanya Ayrıntıları
Cloaked Ursa (diğer adıyla Nobelium, Cozy Bear, APT29, Midnight Blizzard ve UAC-0029) olarak bilinen Rus Dış İstihbarat Servisi bilgisayar korsanları, Kiev’deki diplomatik misyonları hedefliyor ve şimdiden Kiev’deki 80’den fazla yabancı misyondan 22’sini hedef aldı.
Kapsam açısından bu, Rus hükümetine bağlı bir tehdit grubunun en büyük casusluk çabası. Birim 42 araştırmacıları, grubun önceki kampanyaları ile hedefleri arasındaki benzerlikler, zaten bilinen Cloaked Ursa TTP’lerin kullanımı ve aynı grup tarafından daha önce kullanılmış kötü amaçlı yazılımlarla çakışan kod nedeniyle Cloaked Ursa’nın bu kampanyaya dahil olduğundan şüpheleniyor.
Nobelium’un SolarWinds’e yönelik büyük ölçekli siber saldırıdan sorumlu tutulan grupla aynı olduğunu belirtmekte fayda var. Geçen ay Microsoft, grubun geri dönüşü ve Avrupa ve Amerika Birleşik Devletleri’ndeki savunma sektörünü hedef alma kampanyası konusunda uyarıda bulundu.
Diplomatları Avlamak İçin Eski Araba Satış Broşüründen Yararlanma
Saldırganlar, diplomatları hedef almak için meşru bir 2011 model BMW otomobil reklamı kullandı. Polonya Dışişleri Bakanlığı diplomatı, bu e-posta broşürünü Nisan 2023’te farklı büyükelçiliklere gönderdi. Bu, Kiev’de kullanılmış bir BMW 5 serisi sedan satışına ilişkin bir ilandır ve bir dosya eki içerir (başlık: Kiev’de satılık BMW 5 – 2023. docx). İlan, sadece 7500 Euro’ya satılık “çok iyi durumda, düşük yakıt tüketimi” bir araç olduğunu iddia ediyor.
Güvenilir bir diplomat paylaştığı için reklam güvenilir görünüyor. Bu nedenle, mevcut siyasi ortam nedeniyle karşılaşabilecekleri ulaşım sorunları göz önüne alındığında, kesinlikle yabancı misyonları Kiev’e çekecektir.
Sahte broşür, 4 Mayıs 2023’te Kiev’deki çok sayıda diplomatik misyona e-postayla gönderildi. Alıcı, satılık arabanın daha yüksek kaliteli fotoğraflarını vaat eden dosyayı tıkladığında, Cloaked Ursa’nın kampanya için seçtiği yasal bir web sitesinin kısaltılmış URL’sine (tly veya tinyurlcom) yönlendirilir. Kurban fotoğrafları görmeye çalışırken, arka planda zararlı yük (bmw.iso) yürütülür.
Raporlarına göre, araştırmacılar küçük farklılıklarla iki versiyon gözlemlediler. Cloaked Ursa, hedeflerinin %80’ine ulaşmak için halka açık elçilik e-posta kimliklerini kullandı ve geri kalan %20’lik kısım, e-posta kimlikleri yayınlanmadığı için internette bulunamadı. Bazı durumlarda, e-posta kurbanın iş adresine gönderilirken, çoğu alıcıların büyükelçilik için kullandığı genel e-posta adreslerine gönderildi.
Sürekli Gelişen Tehdit – Spear Phishing
APT grupları, başarıyı garantilemek için saldırı taktiklerini sürekli olarak geliştirmektedir. Spear phishing, tercih ettikleri taktiklerden biridir; hedefleri cezbetmek için her şeyi yaparlar. BMW kampanyası, saldırganların Ukrayna hakkında istihbarat bilgisi elde etmek için casusluk yapabilecekleri için diplomatik misyonları Rus hükümeti için yüksek değerli hedefler olarak gördüklerini kanıtlıyor.
Araştırmacılar, Cloaked Ursa’nın e-posta alıcılarından birinin e-posta sunucusunu tehlikeye atmış olabileceğinden ve onu bir kimlik avı yemi olarak kullanmak üzere yeniden tasarlamış olabileceğinden şüpheleniyor. Bu kampanya tehlikeli olabilir, çünkü yemler diplomatik toplulukta geniş bir uygulanabilirliğe sahiptir ve bir organizasyon içinde ve dışında daha fazla hedefe iletilebilir.
Temmuz ayının başlarında Hackread, BlackBerry araştırmacılarının yaklaşan NATO Zirvesi’nde RomCom tarafından Ukrayna yanlısı konukları hedef alan bir siber suç kampanyası belirlediğini bildirdi.
İLGİLİ MAKALELER
- SmugX: Çinli Bilgisayar Korsanları Avrupa’daki Büyükelçilikleri Hedefliyor
- Portekiz Silahlı Kuvvetlerine Yönelik Siber Saldırıda NATO Verileri Çalındı
- Askeri Uydu Erişimi Rus Hacker Forum’da 15 Bin Dolara Satıldı
- Bilgisayar korsanları, Ukrayna İstilasının Yıldönümünde Rus Sitelerini Tahrip Ediyor
- Ukrayna, AB vatandaşlarının 30 milyon hesabını çalan bilgisayar korsanlarını tutukladı