Tehdit aktörleri, çeşitli siber saldırılar gerçekleştirmek için web sitelerinden giderek daha fazla yararlanıyor ve bunu web uygulamalarındaki ve kullanıcı davranışlarındaki güvenlik açıklarından yararlanarak yapıyorlar.
En yaygın taktikler, saldırganların kullanıcıları kandırarak hassas bilgileri ifşa etmelerini sağlayan kimlik avı ve güvenliği ihlal edilmiş siteleri ziyaret ederken kullanıcının izni olmadan sistemlere bulaşan, rastgele indirmelerdir.
Sekoia araştırmacıları kısa süre önce, tehdit aktörlerinin kötü amaçlı bir Android uygulamasını dağıtmak için 25 web sitesinden yararlandığı kötü amaçlı bir kampanya buldu ve bu kampanyaya “SilentSelfie” adı verildi.
SilentSelfie 25 Web Sitesini Suistimal Etti
2024’ün başlarında Sekoia’nın Tehdit Tespit ve Araştırma ekibindeki siber güvenlik araştırmacıları, “Kürt topluluklarını” hedef alan karmaşık bir siber casusluk kampanyasını keşfetti.
İstihbarat toplamak için kötü amaçlı “JavaScript kodunun” dört çeşidini kullanan, güvenliği ihlal edilmiş toplam 25 web sitesi belirlendi.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağı Konusunda Ücretsiz Web Semineri -> Ücretsiz Kayıt
Bu komut dosyaları basit konum izleyicilerinden karmaşık çerçevelere kadar uzanıyordu. Bu kötü amaçlı araçlar, kullanıcıların selfie kameralarına erişti ve seçilen hedefleri kötü amaçlı bir “APK” yüklemek üzere yeniden yönlendirdi.
Bu sofistike kampanya “SilentSelfie” 2022’nin sonlarından beri aktif. “Haber uygulaması” görünümüne bürünen “sulama saldırıları” ve “gizli bir Android uygulaması” kullandı.
Sekoia, sistem bilgilerini, kişileri ve dosyaları toplamak için bu uygulamanın gizli bir “LocationHelper” hizmetinin yardımıyla kullanıcı konumlarını işaret ettiğini ve komutları yürüttüğünü ekledi.
Saldırganlar kodlarını gizlemek için Obfuscator.io ve ProGuard gibi gizleme tekniklerini kullandı. Bunun dışında IP adresi keşfi için WebRTC’yi ve kullanıcı takibi için çerezleri de kullandılar.
Ele geçirilen web sunucuları ve saldırganların kontrol ettiği özel sunucular, kampanyanın altyapısında yer alan iki temel unsurdur. Şimdi burada tespitten kaçınmak için iletişim PHP komut dosyaları aracılığıyla gerçekleşiyor.
Saldırılar StrongPity gibi gruplara atfedildi ancak bu kampanyanın TTP’leri bilinen tehdit aktörleriyle eşleşmiyordu.
Bu senaryo, Kürt çıkarlarını hedef alan, daha önce kimliği belirlenemeyen bir APT grubunun ortaya çıkma ihtimalini gösteriyor.
‘Medya kuruluşları’, ‘siyasi örgütler’ ve ‘militan gruplar’ gibi çeşitli sektörlerde 21 Kürtçe web sitesi bir ‘su kuyusu’ kampanyasıyla hedef alındı.
Ele geçirilen web siteleri öncelikle “Rojava” (Kuzey-Doğu Suriye), “YPG güçleri” ve “aşırı sol Türk-Kürt siyasi oluşumları” ile ilişkilendiriliyordu.
Saldırıda, sahte güncelleme istemleri oluşturmak için kötü amaçlı JavaScript enjeksiyonları kullanıldı; bu istemler aracılığıyla ziyaretçileri tehlikeye atılmış Android uygulamalarını indirmeleri için kandırdılar ve ardından onlara “kamera” ve “GPS” izinleri vermelerini sağladılar.
Bu uygulamalar ve izinler, tehdit aktörleri tarafından hassas verileri (kesin konum koordinatları ve yüz görüntüleri) sızdırmak için kullanıldı.
Üstelik kampanya, ekrandaki çok sayıda bildirime rağmen 18 aydan fazla bir süre boyunca fark edilmedi.
Bunu atfetmek kolay olmasa da, suçlular arasında Türk istihbarat servisleri, Suriye devlet kurumları ve Irak Kürdistan Bölgesel Yönetimi yer alıyor. Bunun yanı sıra İran ve Rusya’nın aday olma ihtimali daha düşük.
Temel gizleme yöntemlerinin kullanılması ve karmaşık kötü amaçlı yazılımların kullanılmaması gibi olayların basit doğası, yeni ortaya çıkan bir tehdit aktörünün veya sınırlı yeteneklere sahip birinin olaya dahil olduğunu gösteriyor.
Güvenliği ihlal edilen önemli siteler arasında ‘RojNews’, ‘YPG Rojava’ ve ‘DHKP-C’ ve ‘PAJK’ ile bağlantılı web siteleri yer alıyordu.
Kampanyanın geniş kapsamı ve süresi, “Kürt örgütlerinin” karşı karşıya kaldığı siber tehditlerin devam ettiğini ve bölgede artırılmış güvenlik önlemlerine duyulan ihtiyacı gösteriyor.
ANY.RUN’un Yeni Güvenli Tarama Aracını Kullanarak Şüpheli Bağlantıları Analiz Edin: Ücretsiz Deneyin