Rus Hackerlar Dezenformasyon ve Kimlik Bilgileri Toplama Saldırılarıyla Ukrayna'yı Hedef Alıyor

Etkinlik, Ekim 2023'te Ukraynalı bir savunma şirketini ve Kasım 2023'te bir Avrupa Birliği ajansını hedef alan ve sahte açılış sayfaları kullanarak Microsoft oturum açma kimlik bilgilerini toplamak amacıyla bir hedef odaklı kimlik avı kampanyası tespit eden Slovak siber güvenlik şirketi ESET'in Rusya ile uyumlu tehdit aktörleriyle bağlantılı.

Texonto Operasyonu, tüm kampanyanın kod adı olduğu için, belirli bir tehdit aktörüne atfedilmedi, ancak bazı unsurları, özellikle hedef odaklı kimlik avı saldırıları, sahte oturum açma sayfaları aracılığıyla kimlik bilgilerini toplama geçmişine sahip olan COLDRIVER ile örtüşüyor.

Dezenformasyon operasyonu, Kasım ve Aralık 2023'te, PDF ekleri ve ısıtma kesintileri, ilaç kıtlığı ve gıda kıtlığı ile ilgili içerik taşıyan e-posta mesajlarıyla iki dalga halinde gerçekleşti.

Kasım dalgası, Ukrayna'da hükümet, enerji şirketleri ve bireyler de dahil olmak üzere en az birkaç yüz alıcıyı hedef aldı. Hedef listenin nasıl oluşturulduğu şu anda bilinmiyor.

ESET, paylaşılan bir raporda, "Dikkat edilmesi gereken ilginç şey, e-postanın Ukrayna Tarım Politikası ve Gıda Bakanlığı gibi görünen bir alandan gönderildiği, içeriğin ilaç kıtlığı ile ilgili olduğu ve PDF'nin Ukrayna Sağlık Bakanlığı'nın logosunu kötüye kullandığıdır" dedi.

"Muhtemelen saldırganların bir hatası ya da en azından tüm ayrıntıları umursamadıklarını gösteriyor."

25 Aralık 2023'te başlayan ikinci dezenformasyon e-posta kampanyası, hedeflemesini Ukrayna'nın ötesine genişleterek diğer Avrupa ülkelerindeki Ukraynaca konuşanları da kapsayacak şekilde dikkat çekiyor. Tüm mesajlar Ukraynaca yazıldı ve Ukrayna hükümetinden bir İtalyan ayakkabı üreticisine kadar çeşitli hedeflere gönderildi.

Bu mesajlar, alıcılara mutlu bir tatil sezonu dilerken, aynı zamanda daha koyu bir ton benimsedi ve askeri konuşlandırmadan kaçınmak için kollarından veya bacaklarından birini kesmelerini önerecek kadar ileri gitti. "Birkaç dakikalık acı, ama sonra mutlu bir hayat!" diye devam ediyor e-posta.

ESET, Aralık 2023'te kimlik avı e-postalarını yaymak için kullanılan alan adlarından biri olan infonotification[.] com, ayrıca 7 Ocak 2024'ten itibaren yüzlerce spam mesajı göndererek potansiyel kurbanları sahte bir Kanada eczane web sitesine yönlendirdi.

Bu e-posta sunucusunun neden bir eczane dolandırıcılığını yaymak için yeniden tasarlandığı tam olarak belli değil, ancak tehdit aktörlerinin, alan adlarının savunucular tarafından tespit edildiğini fark ettikten sonra finansal kazanç için altyapılarından para kazanmaya karar verdiklerinden şüpheleniliyor.

Şirket, "Texonto Operasyonu, savaşı etkilemeye çalışmak için teknolojilerin bir başka kullanımını gösteriyor" dedi.

Gelişme, Meta'nın üç aylık Düşmanca Tehdit Raporunda, platformlarında Çin, Myanmar ve Ukrayna kaynaklı koordineli özgün olmayan davranışlarda (CIB) bulunan üç ağı kapattığını söylemesinin ardından geldi.

Ağların hiçbiri Rusya'dan olmasa da, sosyal medya analiz firması Graphika, Rus devlet kontrolündeki medyanın yayın hacimlerinin savaş öncesi seviyelere göre %55 düştüğünü ve katılımın iki yıl öncesine göre %94 düştüğünü söyledi.

"Rus devlet medya kuruluşları, savaşın başlamasından bu yana siyasi olmayan bilgi-eğlence içeriğine ve Rusya hakkında kendi kendini tanıtan anlatılara odaklanmalarını artırdı" dedi. "Bu, 2022'de birden fazla Batılı ülkenin satış noktalarını engellemesinin ardından yerel Rus izleyicilere hitap etmek için daha geniş bir platform dışı çabayı yansıtabilir."

Rusya Yanlısı Nüfuz Operasyonu Almanya'yı Hedef Aldı 

SentinelOne ve ClearSky tarafından yayınlanan ortak bir rapora göre, Ukrayna karşıtı propaganda ve dezenformasyon yaymasıyla tanınan saldırgan ve ısrarcı bir Kremlin yanlısı ağ olan Doppelganger, iktidardaki hükümet koalisyonunu ve Ukrayna'ya verdiği desteği eleştiren içerikle Alman izleyicileri hedef aldı. Geçen yıl Meta ve Recorded Future tarafından daha önce açıklanan etkinliklerle örtüşüyor.

Güvenlik araştırmacısı Aleksandar Milenkoski, Doppelganger NG olarak adlandırılan bilgi savaşı kampanyasının, "içeriği Doppelgänger propaganda hedefleriyle uyumlu olan üçüncü taraf web sitelerinden ve Doppelganger'ın kendisinin oluşturduğu sitelerden gelen içeriği" paylaşan bir X (eski adıyla Twitter) hesapları ağından yararlandığını söyledi.

Ek olarak, Doppelganger NG ile Rus siber casusluk grubu APT28 arasında, kampanyada bulunan metin ve HTML kod parçalarının benzerliklerine ve UKR.NET ve Yahoo! gibi e-posta hizmetlerini taklit eden sahte sayfalarda potansiyel kurbanlar tarafından girilen kimlik bilgilerini çalmayı amaçlayan bir dizi kimlik avı saldırısına dayalı bağlantılar gözlemlendi

Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) Temmuz 2023'te "Çalınan verilerin aktarımı, daha önce güvenliği ihlal edilmiş Ubiquiti cihazları kullanılarak gerçekleştiriliyor" dedi. Geçen hafta ABD hükümeti, APT28 tarafından kötü niyetli faaliyetlerini gizlemek için kullanılan bir Ubiquiti yönlendirici ağını bozduğunu söyledi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği