Google Tehdit İstihbarat Grubu (GTIG), dış ortaklarla işbirliği içinde, UNC6293 olarak izlenen Rusya devlet destekli bir siber tehdit oyuncusu tarafından düzenlenen sofistike bir kimlik avı kampanyası ortaya çıkardı.
En az Nisan’dan Haziran 2025’in başlarına kadar aktif olan bu kampanya, özellikle önde gelen akademisyenleri ve Rusya’nın eleştirmenlerini hedefledi.
GTIG, UNC6293’ün önceki yüksek profilli siber casusluk faaliyetlerine bağlı kötü şöhretli bir grup olan ICECAP olarak da bilinen APT29 ile ilişkili olduğunu güvenle değerlendirir.
.png
)
Devlet destekli siber tehdit oyuncusu
Saldırganlar, özel sosyal mühendislik taktikleri istihdam ettiler, ABD Dışişleri Bakanlığı’nı, özel kimlik avı yemini konuşlandırmadan önce uzun süreli ilişki oluşturma çabalarıyla hedeflerle güven kurmak için taklit ettiler.
Nihai hedefleri, kurbanları, Google hesaplarına üçüncü taraf erişim sağlamak için kullanılan uygulamaya özgü şifreler (ASPS) 16 karakterli parolalar oluşturmak ve paylaşmak için kandırmaktı, böylece kurbanların posta kutularına kalıcı erişim sağlamaktı.
Kimlik avı operasyonu iki ayrı kampanyada ortaya çıktı, her ikisi de toplantı davetiyeleri olarak gizlenmiş özenle hazırlanmış e -postalardan yararlandı ve ABD Dışişleri Bakanlığı e -posta adresleri ile CC alanında yer aldı.
İlk e -postalar doğal olarak kötü niyetli değildi, ancak bir toplantı düzenlemeye teşvik edilen yanıtlar.
Katılım üzerine hedefler, Dışişleri Bakanlığı çevresinde bireye özelleştirilmiş ve https://account.google.com aracılığıyla hayali bir bulut ortamına erişmek için talimatlar içeren iyi huylu bir PDF cazibesi aldı.
ASPS aracılığıyla kalıcı erişim
Mağdurlar, ilk kampanyada “Ms.state.gov” veya ikincisinde Ukraynalı ve Microsoft temalı bir isim gibi istenen bir ASP yaratmaya yönlendirildi.
ASP kodu paylaşıldıktan sonra, saldırganlar posta istemcilerini, hassas yazışmaları izleyecek ve çıkaracak, kalıcı erişimi sürdürmek için yapılandırdı.
Altyapı analizi, iki kampanyayı aynı tehdit kümesiyle ilişkilendiren IP 91.190.191.117 dahil konut vekillerinin ve VPS sunucularının kullanımını ortaya çıkardı.
GTIG o zamandan beri tehlikeye atılan Gmail hesaplarını yeniden güvence altına aldı ve bu ihlalin ciddiyetinin altını çizdi.
Bu taktik, Citizen Lab’ın ASPS’den yararlanan sosyal mühendislik saldırıları üzerine yapılan son araştırmalarından oluşan bulgularla uyumlu olarak, yüksek riskli kullanıcılar için artan bir tehdidi vurguluyor.
Google, kullanıcıların istediği zaman oluşturma veya iptal etme yeteneğiyle ASP’ler üzerinde tam kontrolü sürdürdüğünü ve bildirimlerin ilişkili Gmail hesaplarına, kurtarma e-postalarına ve yetkisiz etkinlikleri işaretlemek için imzalı cihazlara gönderildiğini vurgular.
Artan güvenlik için Google, daha katı kimlik doğrulama protokolleri nedeniyle ASP oluşturmayı devre dışı bırakan ve bu tür hedeflenen saldırılara karşı sağlam savunma sunan gelişmiş koruma programını (APP) önerir.
GTIG, tehdit avını geliştirmek ve endüstri çapında kullanıcı korumalarını desteklemek için bu bilgileri güvenlik topluluğuyla paylaşmaya kararlıdır. Aşağıda, referans ve azaltma amaçları için bu kampanyayla ilişkili uzlaşmanın (IOC’ler) temel göstergeleri verilmiştir.
Uzlaşma Göstergeleri (IOCS)
| Kampanya | Gönderen teması | ASP Adı | Saldırgan altyapısı |
|---|---|---|---|
| Kampanya 1 | Dışişleri Bakanlığı | Ms.state.gov | 91.190.191.117 (Konut Proxy) |
| Kampanya 2 | Bilinmeyen | Ukraynalı ve Microsoft temalı ASP | 91.190.191.117 (Konut Proxy) |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin