Hacker’lar İnsan Kaynakları Rolünde Askeri ve Havacılık Personelini Hedef Alıyor!!!

Siber güvenlik araştırmacıları bugün hedeflenen askeri/havacılık projelerinde çalışan kilit çalışanları ve hatta bazı durumlarda yüksek kariyer/maaş teklifleri gözetmek amacıyla Avrupa ve Orta Doğu’daki havacılık ve askeri organizasyonlara yönelik oltalama yöntemlerini kullanarak bu sektörler le ilgili bilgi ve belge toplamaya çalıştıkları konusunda uyarıyorlar.

ESET’in yeni raporuna göre, kötü amaçlı yazılım örneğindeki Operasyon (ter) ception” olarak adlandırılan kampanya Eylül-Aralık 2019 arasında gerçekleştiği gelen bilgiler arasında.

Oltalama Operasyonun ana hedefinin Casusluk olduğunu belirten uzmanların ifadesine göre “Ancak araştırdığımız vakalardan birinde saldırganlar, operasyonun son aşaması olarak bir iş e-posta güvenliği (BEC) saldırısı yoluyla mağdurun e-posta hesabına erişimden para kazanmaya çalıştığını tespit ettik.” dedi.Saldırıların arkasındaki finansal motivasyon, hedefleme ve geliştirme ortamındaki benzerliklerle birleştiğinde, ESET’in ülkenin yasadışı silah ve füze programlarını finanse etmek için Kuzey Kore hükümeti adına çalışmaya atfedilen kötü şöhretli bir grup olan Lazarus Grubu’ndan şüphelenmesine yol açtı.


Saldırganların Casusluk verilerini elde edebilmek için LinkedIn üzerinden Sosyal Mühendislik Kampanyanın yüksek oranda hedeflendiğini belirten ESET, seçilen şirketler için çalışan sahte iş teklifleri ile çalışanların havacılık ve savunma endüstrisinde tanınmış şirketlerin İK yöneticileri olarak poz veren sahte mesaj teklifleriyle cezbetmek için sosyal mühendislik hilelerine dayandığını söyledi.


Yukarıdaki çizilen Senaryoya göre Araştırmacılar, etkilenen iki Avrupa şirketiyle yapılan bir soruşturmaya dayanarak, temas kurulduktan sonra saldırganlar kötü amaçlı dosyaları iletişime soktu ve reklamı yapılan iş teklifiyle ilgili belgeler olarak gizledi. Doğrudan sohbetler üzerinden gönderilen veya bir OneDrive bağlantısına işaret eden sahte LinkedIn kişilerinden gönderilen e-postalar olarak gönderilen çığırtkan RAR arşiv dosyaları, belirli iş konumlarının maaş bilgilerini detaylandıran bir PDF belgesi içerdiğini iddia etti.Operasyonun arkasındaki aktörler, hedef şirket içinde bir ilk dayanak kazandıktan sonra, daha önce belgelenmemiş ikinci aşamalı bir yükü – saldırgan kontrollü bir sunucuya düzenli olarak istek gönderen bir C ++ arka kapısı indiren özel bir kötü amaçlı yazılım indiricisini kullanmaya devam ettiği gözlemlendi .

Araştırmacılar Uzak XSL komut dosyalarını yorumlamak için WMIC kullanmanın yanı sıra, rakipler de base64 ile kodlanmış indirilen yüklerin kodunu çözmek için “certutil” gibi yerel Windows yardımcı programlarını ve özel kötü amaçlı yazılımlarını çalıştırmak için “rundll32” ve “regsvr32” gibi uygulamaları kötüye kullanabildiklerini tespit etti.

ESET araştırmacıları, keşiflerin yanı sıra, diğer şirketlerden para çıkarmak için tehlikeye atılan hesaplardan yararlanmaya çalışan saldırganların kanıtlarını da buldular.

Bu yöntemin başarısız olmasına rağmen, para kazanma taktiği, hesap sahibi ile şirketin müşterisi arasındaki mevcut e-posta iletişimlerini kullanarak kontrolleri altındaki farklı bir banka hesabına ödenmemiş bir fatura yerleştirmek için çalışıldığını ortaya koydu.

“Saldırganlar, güvenliği ihlal edilen şirketin adıyla aynı etki alanı adını, ancak farklı bir üst düzey etki alanında kaydettiler ve hedeflenen müşteriyle daha fazla iletişim kurmak için bu sahte etki alanıyla ilişkili bir e-posta kullandılar.”

Nihayetinde, hedeflenen müşteri, şüpheli e-postalar hakkında kurbanın doğru e-posta adresine ulaşarak saldırganların girişimini engelledi.

Araştırmacılar, “Operasyon konusundaki araştırmamız, bir hedefin güvenliğini aşmak için mızrak avcılığının ne kadar etkili olabileceğini bir kez daha gösteriyor.” “Bunlar, LinkedIn ve sosyal, özel, çok aşamalı kötü amaçlı yazılımlar üzerinde yüksek oranda başarılı olacaklarını öngörüyorlardı. Herhangi bir güvenlik Radarının altında çalışmak için saldırganlar, kötü amaçlı yazılımlarını sık sık yeniden derlediler, yerel Windows yardımcı programlarını kötüye kullandılar ve yasal yazılım ve şirketleri taklit ettiler.”

Kaynak

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

error: Content is protected !!