Yeni bir siber güvenlik tehdidinde, kötü şöhretli TA505 hacker grubunun kurnazca bir kimlik avı kampanyası uyguladığı görüldü. Kampanya, belirli bölgelerdeki kullanıcıları hedeflemek için yürütülebilir bir Uzaktan Yönetim Sistemi (RMS) kullanıyor.
TA505 hacker grubu, şüphelenmeyen kurbanların güvenliğini tehlikeye atmak amacıyla ExpressVPN, WeChat ve Skype gibi yasaklı uygulamaları taklit etmek için bir hackleme kampanyasında bu tekniği kullanıyor.
Kampanya Rus netizenleri hedef alıyor ve mağdurları hedef almak için ülkedeki kısıtlı veya yasaklı uygulamaları yem olarak kullanıyor.
TA505 hacker grubu sinsi kimlik avı kampanyası başlatıyor
Cyble Araştırma ve İstihbarat Laboratuvarları (CRIL), Rus kullanıcıları hedef aldığı bildirilen bu yeni kimlik avı kampanyasını gözlemledi. Bu RMS yürütülebilir dosyasının çalışması için tehdidin popüler uygulamaları taklit eden kimlik avı web sitelerine ihtiyacı var.
Pek çok Amerikan merkezli marka ve hizmet Rusya’yı terk ettiğinden, bilgisayar korsanları ülkedeki çevrimiçi uygulamaların azlığını kullanarak vatandaşlarını hedef alıyor.
Güvenilir bir uzaktan yönetim aracı olarak tanınan RMS yürütülebilir dosyasının bu saldırıların temel taşı olduğu görüldü.
İlginç bir şekilde, kötü amaçlı yazılım ikilisi birden fazla aldatıcı web sitesine dağıtıldı ve bu da tehdit aktörünün Rusça konuşan toplulukla bağları olabileceğine dair şüpheleri artırdı.
Bu hackleme kampanyasına dahil olan tehdit aktörü, zorlu TA505 hacker grubudur. Kötü şöhretli bir geçmişi 2014’e kadar uzanan hacker grubunun, Clop varyantı aracılığıyla fidye yazılımı saldırıları gerçekleştirmesiyle tanınıyor.
Siber operasyonlarda RMS ile olan ilişkileri, grubun gelişmiş taktiklerini daha da ön plana çıkararak erken erişim elde etmelerine ve küresel ölçekte siber suçlar işlemelerine olanak tanıyor.
Yasaklanmış uygulamalardan yararlanan kimlik avı kampanyalarının yükselişi
Kullanıcıların güvenlik açıklarından yararlanmak için yasaklanmış veya kısıtlanmış uygulamaları kullanma eğilimi tüm zamanların en yüksek seviyesinde. Son zamanlarda yaşanan VASTFLUX dolandırıcılık davası, bu kimlik avı kampanyalarının kurbanları nasıl hedef alabileceğinin ve ne tür zararlar verebileceklerinin en iyi örneğidir.
VASTFLUX dolandırıcılık çetesi, 1.700 sahte uygulama üzerinden 11 milyon cihazı hedef alarak 120 yayıncıyı etkiledi. Benzer şekilde, TA505 hacker grubunun hackleme kampanyası da dünyanın en büyük ülkelerinden birinde çok sayıda kurbanı hedeflemeyi planlıyor.
Tehdit aktörü bu güvenlik açığından yararlanır ve insan duyguları bu kampanyaların işe yaraması için itici bir güç haline gelir. Kimlik avı web sitelerinin ExpressVPN, WeChat ve Skype gibi popüler uygulamalara benzeyecek şekilde titizlikle tasarlandığı Rus tüketicilerini hedef alan bir operasyonda bu durum açıkça görülüyordu.
Özellikle bu uygulamalara Rusya’da yasal kısıtlamalar nedeniyle erişilemiyor.
TA505 hacker grubunun teknik özellikleri
TA505 hacker grubunun kimlik avı kampanyası, kötü amaçlı yükleri RMS ikili dosyaları aracılığıyla kimlik avı siteleri aracılığıyla dağıtarak veya Kendiliğinden açılan arşivler (SFX) içinde gizlenerek aldatıcı taktikler kullanıyor.
Kurulumlarda kullanıcıların güvenini istismar eden siber suçlular, zararlı içeriği gizlemek için SFX dosyalarından yararlanır. ExpressVPN kimlik avı sitesindeki “VPN İndir” düğmesine tıklamak, kötü amaçlı bir veriyi maskeleyen bir SFX klasörünün indirilmesini başlatır. Yürütüldüğünde, ikna edici bir şekilde resmi bir ExpressVPN yükleyicisinin kimliğine bürünerek yükü gizlice teslim eder.
Yürütme sonrasında, SFX dosyası verileri “HKCUSoftwareWinRAR SFX” Kayıt Defteri anahtarına ekler ve %tmp% dizininde hem RMS yürütülebilir dosyasını hem de orijinal ExpressVPN yükleyicisini içeren belirlenmiş bir klasör oluşturur.
Çeşitli işletim sistemleriyle uyumlu güçlü bir uzaktan yönetim aracı olan RMS aracı, kullanıcılara dosya aktarımı ve masaüstü paylaşımı gibi işlevler sağlar. Hem ticari olmayan hem de ticari kullanım için mevcut olması, meşru ve kötü niyetli kullanıcılara yönelik çekiciliğini genişletmektedir.
TA505’in hackleme kampanyasında RMS aracının yeniden dirilişi, şüphelenmeyen kurbanları hedef almaya yönelik başka bir girişimden başka bir şey değildir. Siber suçlular, kısıtlı uygulamalardan yararlanarak yöntemlerini uyarlıyor ve geliştiriyor, kurnaz taktiklerini vurguluyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.