Rusya Bağlantılı Bilgisayar Korsanları Doğu Avrupa STK'larını ve Medyasını Hedef Alıyor
Rus ve Belaruslu kar amacı gütmeyen kuruluşlar, Rus bağımsız medyası ve Doğu Avrupa'da faaliyet gösteren uluslararası sivil toplum kuruluşları, çıkarları Rus hükümetinin çıkarlarıyla örtüşen tehdit aktörleri tarafından düzenlenen iki ayrı hedef odaklı kimlik avı kampanyasının hedefi haline geldi.
River of Phish olarak adlandırılan kampanyalardan biri, Rusya Federal Güvenlik Servisi (FSB) ile bağları olan muhalif bir kolektif olan COLDRIVER'a atfedilirken, ikinci saldırı grubu, COLDWASTREL kod adlı daha önce belgelenmemiş bir tehdit kümesinin işi olarak kabul edildi.
Access Now ve Citizen Lab'in ortak soruşturmasına göre, kampanyaların hedefleri arasında sürgündeki önde gelen Rus muhalif figürler, ABD düşünce kuruluşu ve politika alanındaki yetkililer ve akademisyenler ve ABD'nin eski bir Ukrayna büyükelçisi de yer aldı.
Access Now, "Her iki tür saldırı da hedef kuruluşların üyelerini daha iyi aldatmak için son derece uyarlandı" dedi. "Gözlemlediğimiz en yaygın saldırı modeli, güvenliği ihlal edilmiş bir hesaptan veya kurbanın tanımış olabileceği birinin gerçek hesabına benzer görünen bir hesaptan gönderilen bir e-postaydı."
River of Phish, kurbanları bir PDF cazibe belgesindeki gömülü bir bağlantıya tıklamaları için kandırmak için kişiselleştirilmiş ve son derece makul sosyal mühendislik taktiklerinin kullanılmasını içerir, bu da onları bir kimlik bilgisi toplama sayfasına yönlendirir, ancak otomatik araçların ikinci aşama altyapıya erişmesini önlemek için virüslü ana bilgisayarların parmak izini almadan önce değil.
E-posta mesajları, kurbanların tanıdığı veya bildiği kuruluşların veya kişilerin kimliğine bürünen Proton Mail e-posta hesaplarından gönderilir.
Citizen Lab, "Saldırganın, 'ekli' dosyanın gözden geçirilmesini talep eden ilk mesaja bir PDF dosyası eklemeyi atladığını sık sık gözlemledik" dedi. "Bunun kasıtlı olduğuna ve iletişimin güvenilirliğini artırmayı, tespit edilme riskini azaltmayı ve yalnızca ilk yaklaşıma yanıt veren hedefleri seçmeyi amaçladığına inanıyoruz (örneğin, bir ek eksikliğine işaret etmek)."
COLDRIVER bağlantıları, saldırıların şifreli görünen PDF belgelerini kullanması ve kurbanları, tehdit aktörünün geçmişte kullandığı bir hile olan bağlantıya tıklayarak bunları Proton Drive'da açmaya teşvik etmesi gerçeğiyle destekleniyor.
Sosyal mühendislik unsurlarından bazıları, özellikle Proton Mail ve Proton Drive'ın hedefleri bir bağlantıya tıklamaları için kandırmak ve onları sahte bir oturum açma sayfasına yönlendirmek için kullanılmasında COLDWASTREL'e kadar uzanır ("protondrive[.] çevrimiçi" veya "protondrive[.] hizmetler") Proton için. Saldırılar ilk olarak Mart 2023'te kaydedildi.
Bununla birlikte, COLDWASTREL, kimlik bilgisi toplama için benzer alan adlarının kullanımı söz konusu olduğunda ve PDF içeriği ve meta verilerdeki farklılıklar nedeniyle COLDRIVER'dan sapar. Faaliyet, bu aşamada belirli bir aktöre veya ülkeye atfedilmemiştir.
Citizen Lab, "Keşif maliyeti düşük kaldığında, kimlik avı yalnızca etkili bir teknik değil, aynı zamanda daha karmaşık (ve pahalı) yetenekleri keşfe maruz bırakmaktan kaçınırken küresel hedeflemeye devam etmenin bir yolu olmaya devam ediyor" dedi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı