Çin, İran, Kuzey Kore ve Türkiye ile uyumlu ulus devlet hack grupları, 2021’in başından bu yana bir dizi kampanyanın parçası olarak gazetecileri casusluk yapmaya ve kötü amaçlı yazılım yaymaya hedefliyor.
Proofpoint, “En yaygın olarak, gazetecileri hedef alan kimlik avı saldırıları, casusluk yapmak veya başka bir hükümetin, şirketin veya devletin belirlediği başka bir alanın iç işleyişine ilişkin önemli bilgiler edinmek için kullanılır.” söz konusu The Hacker News ile paylaşılan bir raporda.
Kurumsal güvenlik firması, izinsiz girişlerin nihai amacının, rekabetçi bir istihbarat avantajı elde etmek veya dezenformasyon ve propaganda yaymak olduğunu söyledi.
Proofpoint, iki Çinli bilgisayar korsanlığı grubu belirlediğini söyledi, TA412 (aka Zirkonyum veya Yargı Panda) ve TA459medya personelini, sırasıyla alıcıların ağ ortamları hakkında bilgi toplamak ve bırakmak için kullanılan web işaretçileri ve silahlı belgeler içeren kötü niyetli e-postalarla hedef alıyor. Çinoksi kötü amaçlı yazılım.
Benzer bir şekilde, Kuzey Kore’ye bağlı Lazarus Grubu (aka TA404), bir kez daha tehdit aktörünün kimliğini yansıtan dini lider Kim Jong Un’un eleştirel kapsamının ardından, iş teklifi temalı bir kimlik avı cazibesiyle isimsiz ABD merkezli bir medya kuruluşunu hedef aldı. devam etti güven amaçlarını ilerletmek için teknik üzerine.
ABD merkezli gazeteciler ve medya da, sahte açılış sayfaları aracılığıyla Twitter kimlik bilgilerini çalmak için tasarlanmış bir kimlik bilgisi toplama saldırısıyla bağlantılı olan TA482 olarak bilinen Türkiye yanlısı bir bilgisayar korsanlığı grubunun saldırısına uğradı.
“Bu kampanyaların arkasındaki motivasyonlar […] Araştırmacılar, bir gazetecinin sosyal medya bağlantılarını hedeflemek, hesapları tahrif etmek veya propaganda yapmak için güvenliği ihlal edilmiş hesapları kullanmayı içerebilir” dedi.
Son olarak, Proofpoint, aşağıdakiler gibi birden fazla İranlı APT aktörünün girişimlerinin altını çizdi. büyüleyici kedi yavrusu (aka TA453), akademisyenleri ve politika uzmanlarını, hedefleri kimlik bilgisi toplama alanlarına yönlendiren kötü amaçlı bağlantılara tıklamaya ikna etmek için gazeteci kılığına girerek.
Bu listeye ayrıca adında bir tehdit aktörü de katılıyor. Bağa (aka TA456 veya Imperial Kitten), Fox News ve Guardian gibi medya kuruluşlarını “rutin olarak” taklit ederek web işaretçileri içeren haber bülteni temalı e-postalar gönderdiği söyleniyor.
Özdeş bir yaklaşımı izleyen İran bağlantılı üçüncü rakip, bir “iNews Muhabiri” olarak ortaya çıkan TA457’dir. .NET tabanlı bir DNS Arka Kapısı ABD, İsrail ve Suudi Arabistan’daki şirketler için halkla ilişkiler personeline.
Gazetecilerin ve medya kuruluşlarının saldırıların odağı haline gelmesi, “benzersiz erişim ve bilgi” sunma yetenekleriyle vurgulanmakta ve bu da onları istihbarat toplama çabaları için karlı hedefler haline getirmektedir.
Araştırmacılar, “Bir gazetecinin e-posta hesabına iyi zamanlanmış, başarılı bir saldırı, hassas, tomurcuklanan hikayeler ve kaynak tanımlama hakkında bilgi sağlayabilir” dedi. “Güvenliği ihlal edilmiş bir hesap, dezenformasyon veya devlet yanlısı propaganda yapmak, savaş veya salgın zamanlarında dezenformasyon sağlamak veya siyasi olarak yüklü bir atmosferi etkilemek için kullanılabilir.”