Ulusal Merkez siber güvenlik Büyük Britanya (NCSC), Rusya ve İran'dan bilgisayar korsanları tarafından gerçekleştirilen düzenli siber saldırıları bildirdi.
Uzman raporuna göre hacker grupları SEABORGIUM (namı diğer Callisto Group/TA446/COLDRIVER/TAG-53) ve TA453 (aka APT42/Charming Kitten/Yellow Garuda/ITG18) kurumlara ve özel kişilere saldırmak için hedefli oltalama teknikleri kullanıyor. Bilgi toplamak.
Bu iki grup işbirliği içinde olmasa da, bir şekilde birbirlerinden ayrılıyorlar. saldırı geçen yıl devlet organlarını, sivil toplum kuruluşlarını, savunma ve eğitim sektörlerindeki kuruluşları ve ayrıca politikacılar, gazeteciler ve aktivistler gibi bireyleri içeren aynı tür kuruluşlar.
Hedefli kimlik avı, tabiri caizse, karmaşık bir tekniktir e-dolandırıcılık, bir saldırgan belirli bir kişiyi hedef aldığında ve kurbanını özellikle ilgilendiren bilgilere sahipmiş gibi davrandığında. SEABORGIUM ve TA453 söz konusu olduğunda, hedefleri hakkında bilgi edinmek için ücretsiz olarak mevcut kaynakları keşfederek bundan emin olurlar.
Her iki grup da sosyal medyada sahte profiller oluşturarak mağdurların veya alanında uzman kişilerin ve gazetecilerin tanıdıkları gibi davrandı. SEABORGIUM ve TA453 kurbanlarının güvenini kazanmak için onlarla bir ilişki kurmaya çalışırken genellikle ilk başta zararsız bir temas olur. Uzmanlar bu durumun uzun süre devam edebileceğini belirtiyor. Bilgisayar korsanları daha sonra kötü amaçlı bir bağlantı gönderip bunu bir e-postaya veya paylaşılan bir belgeye yerleştirir. Microsoft Bir Drive veya Google Drive.
Merkezinde siber güvenlik "bir durumda [TA453], arama sırasında sohbette kötü amaçlı bir URL paylaşmak için bir Zoom araması bile ayarladı." İnandırıcılığı artırmak için tek bir kimlik avı saldırısında birden çok sahte kimliğin kullanıldığı da bildirilmiştir.
Bağlantıları takip etmek genellikle kurbanı saldırganlar tarafından kontrol edilen sahte bir giriş sayfasına götürür ve kimlik bilgilerini girdikten sonra saldırıya uğrar. Bilgisayar korsanları daha sonra e-postaları, ekleri çalmak ve gelen e-postaları hesaplarına yönlendirmek için kurbanlarının e-posta gelen kutularına erişir. Ayrıca, sonraki saldırılarda yeni kurbanlar bulmak ve süreci baştan başlatmak için güvenliği ihlal edilmiş e-postadaki kayıtlı kişileri kullanırlar.
Her iki gruptan bilgisayar korsanları, bir hedefle ilk etkileşim kurduklarında sahte kimlikler oluşturmak için ortak e-posta sağlayıcılarının hesaplarını kullanır. Ayrıca görünüşte meşru kuruluşlar için sahte alanlar oluşturdular. şirketten siber güvenlik 2020'den beri İran'ın TA453 grubunu takip eden Proofpoint, NCSC'nin bulgularını büyük ölçüde yansıtıyor: "[TA453] kampanyaları, bilgisayar korsanları tarafından oluşturulan hesaplarla, hackleme girişiminde bulunmadan önce haftalarca süren dostça görüşmelerle başlayabilir." Ayrıca grubun diğer hedefleri arasında tıp araştırmacıları, bir uzay mühendisi, bir emlakçı ve seyahat acentelerinin de bulunduğunu belirttiler.
Ayrıca firma şu uyarıyı yaptı: “Uluslararası güvenlik konularında çalışan araştırmacılar, özellikle Orta Doğu veya nükleer güvenlik çalışmalarında uzman olanlar, istenmeyen e-postalar alırken daha dikkatli davranmalıdır. Örneğin, gazetecilerin görüştüğü uzmanlar, e-posta adresinin meşru bir muhabire ait olduğundan emin olmak için yayının web sitesini kontrol etmelidir."
Ayrıca ilginç: