Siber Muhbir

River of Phish olarak adlandırılan kampanyalardan biri, Rusya Federal Güvenlik Servisi (FSB) ile bağları olan muhalif bir kolektif olan COLDRIVER'a atfedilirken, ikinci saldırı grubu, COLDWASTREL kod adlı daha önce belgelenmemiş bir tehdit kümesinin işi olarak kabul edildi.

Access Now ve Citizen Lab'in ortak soruşturmasına göre, kampanyaların hedefleri arasında sürgündeki önde gelen Rus muhalif figürler, ABD düşünce kuruluşu ve politika alanındaki yetkililer ve akademisyenler ve ABD'nin eski bir Ukrayna büyükelçisi de yer aldı.

Access Now, "Her iki tür saldırı da hedef kuruluşların üyelerini daha iyi aldatmak için son derece uyarlandı" dedi. "Gözlemlediğimiz en yaygın saldırı modeli, güvenliği ihlal edilmiş bir hesaptan veya kurbanın tanımış olabileceği birinin gerçek hesabına benzer görünen bir hesaptan gönderilen bir e-postaydı."

River of Phish, kurbanları bir PDF cazibe belgesindeki gömülü bir bağlantıya tıklamaları için kandırmak için kişiselleştirilmiş ve son derece makul sosyal mühendislik taktiklerinin kullanılmasını içerir, bu da onları bir kimlik bilgisi toplama sayfasına yönlendirir, ancak otomatik araçların ikinci aşama altyapıya erişmesini önlemek için virüslü ana bilgisayarların parmak izini almadan önce değil.

E-posta mesajları, kurbanların tanıdığı veya bildiği kuruluşların veya kişilerin kimliğine bürünen Proton Mail e-posta hesaplarından gönderilir.

Citizen Lab, "Saldırganın, 'ekli' dosyanın gözden geçirilmesini talep eden ilk mesaja bir PDF dosyası eklemeyi atladığını sık sık gözlemledik" dedi. "Bunun kasıtlı olduğuna ve iletişimin güvenilirliğini artırmayı, tespit edilme riskini azaltmayı ve yalnızca ilk yaklaşıma yanıt veren hedefleri seçmeyi amaçladığına inanıyoruz (örneğin, bir ek eksikliğine işaret etmek)."

COLDRIVER bağlantıları, saldırıların şifreli görünen PDF belgelerini kullanması ve kurbanları, tehdit aktörünün geçmişte kullandığı bir hile olan bağlantıya tıklayarak bunları Proton Drive'da açmaya teşvik etmesi gerçeğiyle destekleniyor.

Sosyal mühendislik unsurlarından bazıları, özellikle Proton Mail ve Proton Drive'ın hedefleri bir bağlantıya tıklamaları için kandırmak ve onları sahte bir oturum açma sayfasına yönlendirmek için kullanılmasında COLDWASTREL'e kadar uzanır ("protondrive[.] çevrimiçi" veya "protondrive[.] hizmetler") Proton için. Saldırılar ilk olarak Mart 2023'te kaydedildi.

Bununla birlikte, COLDWASTREL, kimlik bilgisi toplama için benzer alan adlarının kullanımı söz konusu olduğunda ve PDF içeriği ve meta verilerdeki farklılıklar nedeniyle COLDRIVER'dan sapar. Faaliyet, bu aşamada belirli bir aktöre veya ülkeye atfedilmemiştir.

Citizen Lab, "Keşif maliyeti düşük kaldığında, kimlik avı yalnızca etkili bir teknik değil, aynı zamanda daha karmaşık (ve pahalı) yetenekleri keşfe maruz bırakmaktan kaçınırken küresel hedeflemeye devam etmenin bir yolu olmaya devam ediyor" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.