Rus Hackerlar Dezenformasyon ve Kimlik Bilgileri Toplama Saldırılarıyla Ukrayna'yı Hedef Alıyor
Siber güvenlik araştırmacıları, savaşla ilgili dezenformasyonu yaymak için spam e-postalardan yararlanan Ukrayna'yı hedef alan yeni bir etki operasyonunu ortaya çıkardı.
Etkinlik, Ekim 2023'te Ukraynalı bir savunma şirketini ve Kasım 2023'te bir Avrupa Birliği ajansını hedef alan ve sahte açılış sayfaları kullanarak Microsoft oturum açma kimlik bilgilerini toplamak amacıyla bir hedef odaklı kimlik avı kampanyası tespit eden Slovak siber güvenlik şirketi ESET'in Rusya ile uyumlu tehdit aktörleriyle bağlantılı.
Texonto Operasyonu, tüm kampanyanın kod adı olduğu için, belirli bir tehdit aktörüne atfedilmedi, ancak bazı unsurları, özellikle hedef odaklı kimlik avı saldırıları, sahte oturum açma sayfaları aracılığıyla kimlik bilgilerini toplama geçmişine sahip olan COLDRIVER ile örtüşüyor.
Dezenformasyon operasyonu, Kasım ve Aralık 2023'te, PDF ekleri ve ısıtma kesintileri, ilaç kıtlığı ve gıda kıtlığı ile ilgili içerik taşıyan e-posta mesajlarıyla iki dalga halinde gerçekleşti.
Kasım dalgası, Ukrayna'da hükümet, enerji şirketleri ve bireyler de dahil olmak üzere en az birkaç yüz alıcıyı hedef aldı. Hedef listenin nasıl oluşturulduğu şu anda bilinmiyor.
ESET, paylaşılan bir raporda, "Dikkat edilmesi gereken ilginç şey, e-postanın Ukrayna Tarım Politikası ve Gıda Bakanlığı gibi görünen bir alandan gönderildiği, içeriğin ilaç kıtlığı ile ilgili olduğu ve PDF'nin Ukrayna Sağlık Bakanlığı'nın logosunu kötüye kullandığıdır" dedi.
"Muhtemelen saldırganların bir hatası ya da en azından tüm ayrıntıları umursamadıklarını gösteriyor."
25 Aralık 2023'te başlayan ikinci dezenformasyon e-posta kampanyası, hedeflemesini Ukrayna'nın ötesine genişleterek diğer Avrupa ülkelerindeki Ukraynaca konuşanları da kapsayacak şekilde dikkat çekiyor. Tüm mesajlar Ukraynaca yazıldı ve Ukrayna hükümetinden bir İtalyan ayakkabı üreticisine kadar çeşitli hedeflere gönderildi.
Bu mesajlar, alıcılara mutlu bir tatil sezonu dilerken, aynı zamanda daha koyu bir ton benimsedi ve askeri konuşlandırmadan kaçınmak için kollarından veya bacaklarından birini kesmelerini önerecek kadar ileri gitti. "Birkaç dakikalık acı, ama sonra mutlu bir hayat!" diye devam ediyor e-posta.
ESET, Aralık 2023'te kimlik avı e-postalarını yaymak için kullanılan alan adlarından biri olan infonotification[.] com, ayrıca 7 Ocak 2024'ten itibaren yüzlerce spam mesajı göndererek potansiyel kurbanları sahte bir Kanada eczane web sitesine yönlendirdi.
Bu e-posta sunucusunun neden bir eczane dolandırıcılığını yaymak için yeniden tasarlandığı tam olarak belli değil, ancak tehdit aktörlerinin, alan adlarının savunucular tarafından tespit edildiğini fark ettikten sonra finansal kazanç için altyapılarından para kazanmaya karar verdiklerinden şüpheleniliyor.
Şirket, "Texonto Operasyonu, savaşı etkilemeye çalışmak için teknolojilerin bir başka kullanımını gösteriyor" dedi.
Gelişme, Meta'nın üç aylık Düşmanca Tehdit Raporunda, platformlarında Çin, Myanmar ve Ukrayna kaynaklı koordineli özgün olmayan davranışlarda (CIB) bulunan üç ağı kapattığını söylemesinin ardından geldi.
Ağların hiçbiri Rusya'dan olmasa da, sosyal medya analiz firması Graphika, Rus devlet kontrolündeki medyanın yayın hacimlerinin savaş öncesi seviyelere göre %55 düştüğünü ve katılımın iki yıl öncesine göre %94 düştüğünü söyledi.
"Rus devlet medya kuruluşları, savaşın başlamasından bu yana siyasi olmayan bilgi-eğlence içeriğine ve Rusya hakkında kendi kendini tanıtan anlatılara odaklanmalarını artırdı" dedi. "Bu, 2022'de birden fazla Batılı ülkenin satış noktalarını engellemesinin ardından yerel Rus izleyicilere hitap etmek için daha geniş bir platform dışı çabayı yansıtabilir."
Rusya Yanlısı Nüfuz Operasyonu Almanya'yı Hedef Aldı
SentinelOne ve ClearSky tarafından yayınlanan ortak bir rapora göre, Ukrayna karşıtı propaganda ve dezenformasyon yaymasıyla tanınan saldırgan ve ısrarcı bir Kremlin yanlısı ağ olan Doppelganger, iktidardaki hükümet koalisyonunu ve Ukrayna'ya verdiği desteği eleştiren içerikle Alman izleyicileri hedef aldı. Geçen yıl Meta ve Recorded Future tarafından daha önce açıklanan etkinliklerle örtüşüyor.
Güvenlik araştırmacısı Aleksandar Milenkoski, Doppelganger NG olarak adlandırılan bilgi savaşı kampanyasının, "içeriği Doppelgänger propaganda hedefleriyle uyumlu olan üçüncü taraf web sitelerinden ve Doppelganger'ın kendisinin oluşturduğu sitelerden gelen içeriği" paylaşan bir X (eski adıyla Twitter) hesapları ağından yararlandığını söyledi.
Ek olarak, Doppelganger NG ile Rus siber casusluk grubu APT28 arasında, kampanyada bulunan metin ve HTML kod parçalarının benzerliklerine ve UKR.NET ve Yahoo! gibi e-posta hizmetlerini taklit eden sahte sayfalarda potansiyel kurbanlar tarafından girilen kimlik bilgilerini çalmayı amaçlayan bir dizi kimlik avı saldırısına dayalı bağlantılar gözlemlendi
Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) Temmuz 2023'te "Çalınan verilerin aktarımı, daha önce güvenliği ihlal edilmiş Ubiquiti cihazları kullanılarak gerçekleştiriliyor" dedi. Geçen hafta ABD hükümeti, APT28 tarafından kötü niyetli faaliyetlerini gizlemek için kullanılan bir Ubiquiti yönlendirici ağını bozduğunu söyledi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı