Rus APT28 Hackerları Devam Eden Siber Casusluk Kampanyasında 13 Ülkeyi Hedef Alıyor
APT28 olarak bilinen Rus ulus devlet tehdit aktörünün, HeadLace adlı özel bir arka kapının teslimini kolaylaştırmak için devam eden İsrail-Hamas savaşıyla ilgili cazibelerden yararlandığı gözlemlendi.
IBM X-Force, BlueDelta, Fancy Bear, Forest Blizzard (eski adıyla Strontium), FROZENLAKE, Iron Twilight, Sednit, Sofacy ve TA422 olarak da bilinen ITG05 adı altında düşmanı takip ediyor.
Güvenlik araştırmacıları Golo Mühr, Claire Zaboeva ve Joe Fasulo, "Yeni keşfedilen kampanya, dünya çapında en az 13 ülkede bulunan hedeflere yönelik ve akademik, finans ve diplomatik merkezler tarafından oluşturulan gerçek belgelerden yararlanıyor" dedi.
"ITG05'in altyapısı, yalnızca belirli bir ülkeden gelen hedeflerin kötü amaçlı yazılımı alabilmesini sağlıyor ve bu da kampanyanın yüksek oranda hedeflenmiş doğasını gösteriyor."
Kampanyanın hedefleri arasında Macaristan, Türkiye, Avustralya, Polonya, Belçika, Ukrayna, Almanya, Azerbaycan, Suudi Arabistan, Kazakistan, İtalya, Letonya ve Romanya yer alıyor.
Kampanya, Birleşmiş Milletler, İsrail Bankası, ABD Kongre Araştırma Servisi, Avrupa Parlamentosu, Ukraynalı bir düşünce kuruluşu ve bir Azerbaycan-Belarus Hükümetlerarası Komisyonu ile ilişkili belgelerden yararlanarak, öncelikle "insani yardımın tahsisi üzerinde doğrudan etkiye" sahip Avrupalı kuruluşları ayırmak için tasarlanmış tuzakların kullanımını içeriyor.
Saldırılardan bazılarının, ilk olarak Ukrayna Acil Durum Müdahale Ekibi (CERT-UA) tarafından ülkedeki kritik altyapıya yönelik saldırılarda ifşa edilen bir arka kapı olan HeadLace'i yaymak için CVE-2023-38831 adlı WinRAR kusurundan yararlanan RAR arşivlerini kullandığı tespit edildi.
Zscaler'ın Eylül 2023'ün sonlarında Steal-It adlı benzer bir kampanyayı ortaya çıkardığını ve hedefleri hassas bilgilerle ayrılmaları için kandırmak için yetişkin temalı içerikle cezbettiğini belirtmekte fayda var.
Açıklama, Microsoft, Palo Alto Networks Unit 42 ve Proofpoint'in, tehdit aktörünün Exchange sunucularındaki kurbanların hesaplarına yetkisiz erişim elde etmek için Microsoft Outlook'un kritik bir güvenlik açığından (CVE-2023-23397, CVSS puanı: 9.8) yararlanmasını detaylandırmasından bir hafta sonra geldi.
Bu nedenle, cazibe olarak resmi belgelere güvenmek, daha önce gözlemlenen faaliyetlerden bir sapmaya işaret ediyor ve "ITG05'in, çıkarları ortaya çıkan politika oluşturmayı etkileyen materyallerle etkileşime yol açacak benzersiz bir hedef kitleye artan vurgusunun göstergesi."
Araştırmacılar, "Küresel dış politika merkezlerinin herhangi bir kademesinin uzlaşmasının, Uluslararası Toplumun (IC) güvenlik ve insani yardım için rekabet eden önceliklere yaklaşımını çevreleyen kritik dinamiklere ilişkin gelişmiş içgörü ile yetkililerin çıkarlarına yardımcı olması muhtemeldir" dedi.
Gelişme ayrıca, CERT-UA'nın UAC-0050 olarak bilinen tehdit aktörünü Remcos RAT ve Meduza Stealer kullanarak Ukrayna ve Polonya'ya karşı büyük bir e-posta tabanlı kimlik avı saldırısına bağladığı yeni bir danışma belgesini takip ediyor.
Benzer Haberler
Dört REvil Ransomware Üyesi Nadir Rus Siber Suç Mahkumiyetlerinde Mahkum Edildi
Yeni Qilin.B Ransomware Varyantı, Geliştirilmiş Şifreleme ve Kaçınma Taktikleriyle Ortaya Çıkıyor
Yeni Grandoreiro Bankacılık Kötü Amaçlı Yazılım Varyantları, Tespit Edilmekten Kaçınmak İçin Gelişmiş Taktiklerle Ortaya Çıkıyor
ABD, iki Sudanlı kardeşi 35.000 DDoS saldırısı için suçladı
Yeni Kötü Amaçlı Yazılım Kampanyası, DarkVision RAT Sunmak için PureCrypter Loader'ı Kullanıyor
FBI, Yaygın Kripto Piyasası Manipülasyonunu Ortaya Çıkarmak İçin Sahte Kripto Para Birimi Oluşturuyor
OpenAI, Siber Suç ve Dezenformasyon için Yapay Zekayı Kullanan 20 Küresel Kötü Amaçlı Kampanyayı Engelliyor
Oyuncular, sahte hile komut dosyası motorları aracılığıyla Lua tabanlı kötü amaçlı yazılımları indirmeleri için kandırıldı