İsrail mühendislik ve telekomünikasyon şirketleri, ikna edici bir şekilde İsrail posta hizmetini taklit eden sürekli bir kimlik avı mesajı kampanyasıyla hedef alındı.
Perception Point tarafından yapılan araştırma, kimlik avı e-postasının genellikle bir HTML bağlantısı içeren kaçırılmış bir teslim notu gibi göründüğünü buldu. Tıklandığında, kullanıcının tarayıcısında bir .html dosya eki indirir ve açar. Bu html dosyası daha sonra, AsyncRAT kötü amaçlı yazılımının değiştirilmiş bir sürümünü indiren, karartılmış bir Visual Basic komut dosyası içeren bir ISO görüntü dosyasını açar.
İsrail Posta Şirketi’nin (“İsrail Postası” olarak da bilinir) logosunun kızıl geyik olması nedeniyle Kızıl Geyik Operasyonu olarak adlandırıldı – bu teknik ilk olarak Nisan 2022’de bir kampanyada kullanıldı, ancak geçen ay benzer bir kampanya kullanıldı. kullanılan kötü amaçlı yazılım sürümünün ve SSL sertifikasının aynı olduğu tespit edildi.
Sürekli Kimlik Avı Kampanyası
Etkinlik kümesindeki birkaç başka kampanya da tespit edildi; bunlardan biri geçen Haziran’da ve diğeri geçen Ekim’de Perception Point olay müdahale analisti Igal Lytzki’nin kimlik avı e-postalarının hacminin diğer günlere göre önemli ölçüde yüksek olduğunu söylediği yer.
Perception Point, kampanyayı “sürekli ve gizli bir operasyon” olarak adlandırdı ve hepsi İsrail’de bulunan, çeşitli sektörlerden çok sayıda kuruluşu hedef aldı.
Lytzki, “bu kampanyayla ilgili yüzlerce e-postanın” tespit edildiğini ve teslim edilmeden önce karantinaya alındığını ve bunların yalnızca yönetici ve liderlik pozisyonlarındaki çalışanlara değil, farklı pozisyonlardaki ve farklı kıdem seviyelerindeki çalışanlara yönlendirildiğini söylüyor.
Ayrıca, logo, renklerin korelasyonu ve postanenin çalışma saatleri hakkında ek bilgiler gibi unsurların eklenmesi de dahil olmak üzere yemlerin gerçek görünmesine gösterilen özenin dikkate değer olduğunu da sözlerine ekledi. “Bu, karmaşıklığın derinliğini ve bu saldırıya yapılan yatırımı ortaya çıkaran şaşırtıcı bir taktik,” diye belirtiyor.
Kim Suçlu?
Saldırılar, kötü amaçlı yazılım seçimi, siparişle ilgili kimlik avı mesajları ve gizlenmiş PowerShell betiklerinin Losh Crypter kullanımı nedeniyle Aggah tehdit grubuna atfedildi. Lytzki, Aggah için herhangi bir devlet sponsorluğuna veya ulusal kimliğe dair net bir kanıt olmadığını, ancak Aggah’ın taktikleri, teknikleri ve prosedürleri (TTP’ler) ile devlet destekli bir grup olan Gorgon Group olarak bilinen başka bir tehdit grubu arasında çarpıcı bir benzerlik olduğunu söylüyor. Pakistan hükümeti.
“Aggah, casusluk, bilgi toplama ve mali kazanç için çeşitli ülkeleri hedef aldı. Kanıtların, bu bilgisayar korsanlığı grubunun kiralık olduğunu ve onlar adına kötü niyetli kampanyalar başlatmak için diğer hükümetlerle sözleşmeler yaptığını gösterdiğine inanıyorum.”
Ayrıca geçmişte Aggah, ağırlıklı olarak Orta Doğu ülkelerindeki kuruluşlara yönelik saldırılar düzenlemiştir. Bu arada Gorgon Group, yalnızca mali dolandırıcılık ve siber suçlara odaklanmakla kalmıyor, aynı zamanda devlet kuruluşlarına yönelik saldırılar da yürütüyor ve Rusya, İspanya, Birleşik Krallık ve Amerika Birleşik Devletleri’ne yönelik saldırılarla bağlantılı.