Muhtemelen devlet destekli bir tehdit aktörü tarafından koordine edilen bir hedef odaklı kimlik avı kampanyası, Ukraynalı mültecilere lojistik destek sağlayan Avrupa hükümet personelini hedef alıyor.
Amerikan siber güvenlik firması Proofpoint’e göre, saldırganlar kimlik avı mesajını iletmek için Ukraynalı silahlı servis üyelerinin “muhtemelen güvenliği ihlal edilmiş” e-posta hesaplarını kullanıyor.
Araştırmacılar, gözlemledikleri kimlik avı saldırılarının yalnızca Avrupa devlet kurumlarını hedef aldığını söyledi ve şimdilik saldırıları devlet destekli belirli bir bilgisayar korsanlığı grubuna bağlayamayacaklarını ekledi.
Proofpoint araştırmacıları, “Proofpoint, Ukrayna’dan kaçan mültecilerin lojistiğini yönetmeye dahil olan Avrupa hükümet personelini hedef almak için muhtemelen güvenliği ihlal edilmiş bir Ukraynalı silahlı servis üyesinin e-posta hesabını kullanan, ulus devlet destekli olası bir kimlik avı kampanyası belirledi.” dedim.
“E-posta, güvenliği ihlal edilmiş cihazlara ikinci aşama yükleri iletmek için kullanılabilecek bir kötü amaçlı yazılım indiricisi olan SunSeed adlı Lua tabanlı bir kötü amaçlı yazılımı indirmeye çalışan kötü amaçlı bir makro eki içeriyordu.
Bununla birlikte, enfeksiyon zincirine dayanarak araştırmacılar, Asylum Ambuscade olarak izlenen kampanyanın uyumlu olduğunu ve muhtemelen Temmuz 2021 kimlik avı saldırılarıyla bağlantılı olduğunu söyledi. Hayalet Yazıcı Belarus tehdit grubu (TA445 veya UNC1151 olarak da izlenir).
Ghostwriter, Kasım 2021’de Mandiant güvenlik araştırmacıları tarafından yüksek güvenle ilişkilendirildi Belarus hükümetine.
Rusya yedi gün önce Ukrayna’yı işgal ettiğinden beri, bu tehdit grubu zaten Ukraynalılara yönelik diğer saldırılarla bağlantılı.
Örneğin, Ukrayna Bilgisayar Acil Müdahale Ekibi (CERT-UA), Ghostwriter operatörlerinin Ukrayna askeri personelinin ve “ilgili kişilerin” özel e-posta hesaplarını bağlantılarına kimlik avı sağlamak için tehlikeye atmaya çalıştığı konusunda uyardı.
Pazartesi günü Facebook, Ghostwriter tarafından Ukraynalı yetkililerin ve askeri personelin kendi platformundaki hesaplarını hedef almak için kullanılan hesapları da kaldırdı. Ayrıca, Ukraynalı kullanıcıların hesaplarını denemek ve tehlikeye atmak için kullanılan kimlik avı alanlarını engellediğini de sözlerine ekledi.
Proofpoint araştırmacıları, “Bu faaliyet, ilişkilendirme sonuçlarından bağımsız olarak, Rusya, onun vekilleri ve Ukrayna arasındaki aktif bir silahlı çatışma döneminde, Ukrayna askeri hesaplarıyla güvenliği ihlal edilmiş NATO varlıklarını hedef alma çabasını temsil ediyor.”
“Ayrıca, Avrupa’daki mülteci hareketleriyle ilgili istihbarattan dezenformasyon amacıyla yararlanma olasılığı, Rus ve Beyaz Rusya devlet tekniklerinin kanıtlanmış bir parçasıdır.”