Microsoft, COLDRIVER'ın Gelişen Kaçınma ve Kimlik Bilgisi Çalma Taktikleri Konusunda Uyardı
COLDRIVER olarak bilinen tehdit aktörü, Rusya'nın stratejik çıkarları olan kuruluşlara karşı kimlik bilgisi hırsızlığı faaliyetlerinde bulunmaya devam ederken, aynı zamanda tespit kaçırma yeteneklerini de geliştirdi.
Microsoft Tehdit İstihbaratı ekibi, Star Blizzard (eski adıyla SEABORGIUM) olarak kümenin altında izleme yapıyor. Ayrıca Blue Callisto, BlueCharlie (veya TAG-53), Calisto (alternatif olarak Callisto) ve TA446 olarak da adlandırılır.
Redmond, düşmanın "Ukrayna'ya uluslararası ilişkiler, savunma ve lojistik destek ile ilgili kişi ve kuruluşların yanı sıra akademi, bilgi güvenliği şirketleri ve Rus devlet çıkarlarıyla uyumlu diğer kuruluşları üretken bir şekilde hedef almaya devam ettiğini" söyledi.
Rusya Federal Güvenlik Servisi'ne (FSB) bağlı Star Blizzard, hedeflenen şirketlerin giriş sayfalarını taklit eden benzer alan adları oluşturma konusunda bir geçmişe sahip. En az 2017'den beri aktif olduğu biliniyor.
Ağustos 2023'te Recorded Future, tehdit aktörünün saldırı altyapısının bir parçası olan ve çoğu bilgi teknolojisi ve kripto para birimiyle ilgili anahtar kelimeler içeren 94 yeni alan adı ortaya çıkardı.
Microsoft, düşmanın Nisan 2023'ten itibaren aktör tarafından kontrol edilen altyapının otomatik olarak taranmasını önlemek için sunucu tarafı komut dosyalarından yararlandığını, ilgilenilen hedefleri belirlemek için hCaptcha'dan uzaklaştığını ve tarama oturumunu Evilginx sunucusuna yönlendirdiğini gözlemlediğini söyledi.
Sunucu tarafı JavaScript kodu, tarayıcıda herhangi bir eklenti yüklü olup olmadığını, sayfaya Selenium veya PhantomJS gibi bir otomasyon aracı tarafından erişilip erişilmediğini kontrol etmek ve sonuçları bir HTTP POST isteği biçiminde sunucuya iletmek için tasarlanmıştır.
Microsoft, "POST isteğini takiben, yeniden yönlendirici sunucusu tarayıcıdan toplanan verileri değerlendirir ve tarayıcı yeniden yönlendirmesine izin verilip verilmeyeceğine karar verir" dedi.
"İyi bir karara varıldığında, tarayıcı yeniden yönlendirme sunucusundan bir yanıt alır ve zincirin bir sonraki aşamasına, kullanıcının çözmesi için bir hCaptcha olan veya Evilginx sunucusuna yönlendiren bir yanıt alır."
Ayrıca Star Blizzard tarafından yeni kullanılanlar, HubSpot ve MailerLite gibi e-posta pazarlama hizmetleri, kimlik bilgisi toplama sayfasını barındıran Evilginx sunucusunda sonuçlanan yeniden yönlendirme zincirinin başlangıç noktası olarak hizmet eden kampanyalar oluşturmak için kullanılıyor.
Buna ek olarak, tehdit aktörünün, aktör tarafından kayıtlı etki alanı altyapısını çözmek için bir alan adı hizmeti (DNS) sağlayıcısı kullandığı, e-posta güvenlik süreçlerinden kaçınmak ve dosyaları Proton Drive'da barındırmak için bağlantıları gömen parola korumalı PDF yemleri gönderdiği gözlemlendi.
Hepsi bu değil. Tehdit aktörünün, taktiklerini ve tekniklerini kamuya açık raporlamayı aktif olarak takip ettiğinin bir işareti olarak, şimdi etki alanı oluşturma algoritmasını (DGA) adlandırırken daha rastgele bir kelime listesi içerecek şekilde yükseltti.
Microsoft, bu değişikliklere rağmen, "Star Blizzard faaliyetleri, ağırlıklı olarak kurumsal ve/veya kişisel e-posta hesaplarını barındıran bulut tabanlı e-posta sağlayıcılarını hedef alan e-posta kimlik bilgisi hırsızlığına odaklanmaya devam ediyor" dedi.
"Star Blizzard, her sunucunun genellikle ayrı bir aktör kayıtlı etki alanını barındırdığı hedef odaklı kimlik avı faaliyetleri için kullanılan aktör kontrollü altyapıyı (yeniden yönlendirici + Evilginx sunucuları) barındırmak için özel VPS çiftlerini kullanmada sabit kalıyor."
İngiltere ve ABD, Star Blizzard'ın İki Üyesine Yaptırım Uyguladı
Gelişme, İngiltere'nin Star Blizzard'ı siber operasyonlar yoluyla yüksek profilli bireyleri ve kuruluşları hedef alarak "Birleşik Krallık'ın siyasi süreçlerine müdahale etmeye yönelik sürekli başarısız girişimler" nedeniyle çağırmasıyla geldi.
Birleşik Krallık hükümeti, Star Blizzard'ı FSB'nin alt unsuru olan Centre 18'e bağlamanın yanı sıra, bilgisayar korsanlığı ekibinin iki üyesine – Ruslan Aleksandrovich Peretyatko ve Andrey Stanislavovich Korinets (diğer adıyla Alexey Doguzhiev) – hedef odaklı kimlik avı kampanyalarına dahil oldukları için yaptırım uyguladı.
Faaliyet, "Birleşik Krallık kuruluşlarını ve daha geniş anlamda Birleşik Krallık hükümetini baltalamayı amaçlayan hassas verilere yetkisiz erişim ve sızdırma ile sonuçlandı" dedi.
Avustralya, Kanada, Yeni Zelanda, Birleşik Krallık ve ABD'den oluşan Beş Göz istihbarat ittifakı, tehdit aktörünün güvenilir görünmek için bilinen kişilerin e-posta hesaplarını taklit etme, uydurma sosyal medya profilleri oluşturma ve meşru kuruluşlara benzeyen kötü amaçlı alan adları oluşturma modelini daha da vurguladı.
Hedef odaklı kimlik avı saldırılarından önce, kurumsal ağlardaki güvenlik kontrollerini atlamak ve nihayetinde meşru bir hizmet için oturum açma sayfasını taklit eden bağlantılar sunma umuduyla yakınlık kurmak amacıyla kişisel e-posta adresleri aracılığıyla onlara yaklaşmadan önce hedeflerini keşfetmek için bir araştırma ve hazırlık aşaması yapılır.
Microsoft, "Gönderen adresi herhangi bir ücretsiz e-posta sağlayıcısından olabilir, ancak Star Blizzard tarafından sıklıkla kullanıldığı için Proton hesap gönderenlerinden (@proton.me, @protonmail.com) alınan e-postalara özel dikkat gösterilmelidir" dedi.
Hedefler tarafından bu sayfalara girilen kimlik bilgileri daha sonra yakalanır ve kurbanların e-postalarına ve eklerine erişmek için kullanılır, kişi listelerinden bahsetmiyorum bile, bunlar daha sonra güvenliği ihlal edilmiş hesaplar aracılığıyla kimlik avı faaliyetlerini takip etmek için kullanılır.
ABD Adalet Bakanlığı (DoJ), Peretyatko ve Korinets aleyhindeki yeni açılan bir iddianamede, sanıkların, alıcıların hizmet şartlarını ihlal ettiğini öne süren e-posta sağlayıcılarından geldiği iddia edilen mesajlar göndermek için sahte e-posta hesapları kullandığını, ancak gerçekte, e-posta hesabı kimlik bilgilerini yanlış oturum açma istemlerine vermeleri için onları kandırmak için tasarlandığını söyledi.
ABD Hazine Bakanlığı'nın Yabancı Varlıklar Kontrol Ofisi (OFAC), FSB'yi hedef ülkelerdeki anlatıları şekillendirmek ve Rusya'nın stratejik çıkarlarını ilerletmek amacıyla uzun süredir devam eden hack ve sızıntı operasyonlarına dahil etti.
Ayrıca Korinets'i 2016 ve 2020 yılları arasında kimlik avı kampanyaları için en az 39 sahte kimlik bilgisi toplama alanı oluşturmakla suçladı. Peretyatko'nun 2017 yılında kurbanları Korinets tarafından oluşturulan kötü amaçlı bir alana yönlendiren kimlik avı e-postaları göndermek için sahte bir e-posta hesabı kullandığı iddia ediliyor.
Hazine Bakanlığı, "Peretyatko ve hedef odaklı kimlik avı kampanyalarından sorumlu diğer FSB memurları, kötü niyetli siber faaliyetlerini destekleyecek yeni araçlar araştırdı" dedi.
"Araçlardan biri, iki faktörlü kimlik doğrulamadan kaçınmaya izin veren kötü amaçlı yazılımları, bir diğeri sınırlı algılama riski olan bir cihazın kontrolüne izin veriyor ve üçüncüsü web posta gelen kutularına erişime izin veriyor."
Yaptırımlara rağmen, ABD Dışişleri Bakanlığı, Star Blizzard üyelerinin ve Adalet Ödülleri (RFJ) programının bir parçası olarak faaliyetlerinin tanımlanmasına yol açan herhangi bir bilgi için 10 milyon dolarlık bir ödül açıkladı.
Yaptırım ablukasına yanıt olarak, İngiltere'deki Rus Büyükelçiliği, bunu "beyhude bir hareket" ve "yine kötü sahnelenmiş bir drama eylemi" olarak nitelendirdi ve Devlet Başkanı Vladimir Putin, "Batılı seçkinler, kayan hakimiyetlerini sürdürmek için tüm makro bölgelerde çatışmaları kışkırtarak yaptırımlar kullanıyor" dedi.
Benzer Haberler
Dört REvil Ransomware Üyesi Nadir Rus Siber Suç Mahkumiyetlerinde Mahkum Edildi
Yeni Qilin.B Ransomware Varyantı, Geliştirilmiş Şifreleme ve Kaçınma Taktikleriyle Ortaya Çıkıyor
Yeni Grandoreiro Bankacılık Kötü Amaçlı Yazılım Varyantları, Tespit Edilmekten Kaçınmak İçin Gelişmiş Taktiklerle Ortaya Çıkıyor
ABD, iki Sudanlı kardeşi 35.000 DDoS saldırısı için suçladı
Yeni Kötü Amaçlı Yazılım Kampanyası, DarkVision RAT Sunmak için PureCrypter Loader'ı Kullanıyor
FBI, Yaygın Kripto Piyasası Manipülasyonunu Ortaya Çıkarmak İçin Sahte Kripto Para Birimi Oluşturuyor
OpenAI, Siber Suç ve Dezenformasyon için Yapay Zekayı Kullanan 20 Küresel Kötü Amaçlı Kampanyayı Engelliyor
Oyuncular, sahte hile komut dosyası motorları aracılığıyla Lua tabanlı kötü amaçlı yazılımları indirmeleri için kandırıldı