Kaydol

Flood göndermek, insanların floodlarını okumak ve diğer insanlarla bağlantı kurmak için sosyal Floodlar ve Flood Yanıtları Motorumuza kaydolun.

Oturum aç

Flood göndermek, insanların floodlarını okumak ve diğer insanlarla bağlantı kurmak için sosyal Floodlar ve Flood Yanıtları Motorumuza giriş yapın.

Şifremi hatırlamıyorum

Şifreni mi unuttun? Lütfen e-mail adresinizi giriniz. Bir bağlantı alacaksınız ve e-posta yoluyla yeni bir şifre oluşturacaksınız.

3 ve kadim dostu 1 olan sj'yi rakamla giriniz. ( 31 )

Üzgünüz, Flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Pakistan ve Suriye’de Bilgisayar Korsanlarına Karşı Harekete Geç

Pakistan ve Suriye’de Bilgisayar Korsanlarına Karşı Harekete Geç

  • Pakistan ve Suriye’den dört farklı hacker grubuna karşı harekete geçtik.
  • Pakistan’dan gelen kötü niyetli faaliyet Afganistan’daki insanları hedef aldı.
  • Suriye’den üç ayrı hack grubu, Suriye’de sivil toplum, gazeteciler, insani yardım kuruluşları ve rejim karşıtı askeri güçler de dahil olmak üzere çok çeşitli insanları hedef aldı. Bu üç hack grubunun her birinin Suriye Hava Kuvvetleri İstihbaratı da dahil olmak üzere Suriye hükümetiyle bağlantıları vardı.

Bugün, son birkaç aydır Pakistan ve Suriye’deki dört farklı hacker grubuna karşı yaptığımız eylemleri paylaşıyoruz. Bu kötü niyetli grupları bozmak için hesaplarını devre dışı bırakıldık, alan adlarının platformumuzda yayınlanmasını engelledik, sektör akranlarımız, güvenlik araştırmacıları ve kolluk kuvvetlerimizle bilgi paylaştık ve bu bilgisayar korsanları tarafından hedef alındığını düşündüğümüz kişileri uyardık.

Pakistan’dan gelen grup — güvenlik sektöründe SideCopy — Kabil’deki önceki Afgan hükümeti, ordusu ve kolluk kuvvetleriyle bağlantısı olan kişileri hedef alıp verdi. Suriye’de, Suriye hükümetiyle bağlantısı olan üç farklı hacker grubunu kaldırdık. Suriye’deki ilk ağ — Suriye Elektronik Ordusu — insan hakları aktivistlerini, gazetecileri ve iktidar rejimine karşı çıkan diğer grupları hedef aldı. Bu faaliyeti Suriye Hava Kuvvetleri İstihbaratı ile ilişkilendirdik. Güvenlik camiasında APT-C-37 olarak bilinen Suriye’den gelen ikinci ağ, Özgür Suriye Ordusu ile bağlantılı kişileri ve o zamandan beri muhalif güçlere katılan eski askeri personeli hedef aldı. Soruşturmamız, APT-C-37’nin bu faaliyetinin Suriye Hava Kuvvetleri İstihbaratı’nda ayrı bir birim olduğuna inandığımız şeyle bağlantılı. Son olarak, Suriye’den gelen üçüncü ağ azınlık gruplarını, aktivistleri, muhalifleri, Kürt gazetecileri, aktivistleri, Halk Koruma Birlikleri (YPG) üyelerini ve gönüllü olarak insani yardım kuruluşu olan Suriye Sivil Savunma veya Beyaz Miğferler’i hedef aldı. Soruşturmamız, bu faaliyetle Suriye hükümetiyle ilişkili kişiler arasında bağlantılar buldu.

Meta’nın tehdit istihbaratı analistleri ve güvenlik uzmanları, siber casusluk kampanyaları, etki operasyonları ve platformumuzu ulus-devlet aktörleri ve diğer gruplar tarafından hacklemek. Bu çabaların bir parçası olarak ekiplerimiz, düşman operasyonlarını devre dışı bırakarak, hesaplarını korumak için adım atmaları gerekip gerekmemesi gerektiğini kullanıcılara bildirerek, bulgularımızı herkese açık olarak paylaşarak ve ürünlerimizin güvenliğini artırmaya devam ederek düzenli olarak düşman operasyonlarını sekteye uğratmaktadır.

Her kesintiyle ilgili ayrıntılar şunlardır:

1. Pakistan

Ağustos ayında, pakistan’dan bir grup hacker’ı kaldırdık. SideCopy‘ nin Afganistan’daki insanları, özellikle de Kabil’deki Afgan hükümeti, askeri ve kolluk kuvvetleriyle bağlantısı olanları hedef aldığını söyledi. Devam eden kriz ve o dönemdeki hükümet çöküşü göz önüne alındığında, soruşturmayı tamamlamak ve platformumuzdaki insanları korumak, bulgularımızı endüstri akranları, kolluk kuvvetleri ve araştırmacılarla paylaşmak ve hedef alındığına inandığımız kişileri uyarmak için hızlı bir şekilde harekete geçtik. Buna ek olarak, biz kullanıma sunulu Afganistan’daki insanların Facebook hesaplarını korumaları için bir dizi güvenlik önlemi.

Bu kötü amaçlı etkinlik, arkasında kimin olduğunu karartırken iyi kaynaklı ve kalıcı bir işlemin ayırt edici özelliklerine sahipti. Platformumuzda, bu siber casusluk kampanyası Nisan ve Ağustos 2021 arasında arttı ve öncelikle kötü amaçlı yazılım barındıran kötü amaçlı web sitelerine bağlantılar paylaşmada kendini gösterdi.

Bu tehdit aktörü tarafından uygulamalarımız da dahil olmak üzere internet üzerinden kullanılan aşağıdaki taktikleri, teknikleri ve prosedürleri (TTP’ler) belirledik (tehdit göstergeleri raporun sonunda bulunabilir):

  • Bu grup, potansiyel hedeflerle güven oluşturmak ve kimlik avı bağlantılarına tıklamaları veya kötü amaçlı sohbet uygulamalarını indirmeleri için onları kandırmak için romantik yemler olarak hayali kişilikler yarattı .
  • Sahte uygulama mağazaları işlettiler ve ayrıca insanları Facebook kimlik bilgilerini vermeleri için manipüle etmek için kötü amaçlı kimlik avı sayfaları barındırmak için meşru web sitelerini tehlikeye attılar.
  • SideCopy, Viber ve Signal gibi görünen haberciler veya cihazları tehlikeye atacak kötü amaçlı yazılım içeren özel yapım Android uygulamaları da dahil olmak üzere, insanları truva atlı sohbet uygulamaları yüklemeleri için kandırmaya çalıştı (yani, insanları gerçek amacı hakkında yanıltan kötü amaçlı yazılım içeriyordu). Bunlar arasında HappyChat, HangOn, ChatOut, TrendBanter, SmartSnap ve TeleChat adlı uygulamalar vardı – bazıları aslında çalışan sohbet uygulamalarıydı.
  • Bu uygulamalar genellikle iki kötü amaçlı yazılım ailesi içeriyordu: PJobRAT ve daha önce bildirilmemiş bir Android kötü amaçlı yazılım türüne Mayhem adını verdik. Bu iki aile, kişilerin kişi listesini, kısa mesajlarını, arama kayıtlarını, konum bilgilerini, cihazdaki medya dosyalarını veya bağlı harici depolama alanını ve genel cihaz meta verilerini alma yeteneğine sahiptir. Ayrıca erişilebilirlik hizmetleri aracılığıyla cihazın ekranındaki içeriği kazıyabilirler.
  • Ağustos 2021’de grup bit kullanmaya geçti[.]ly URL kısaltıcı, kötü amaçlı bağlantıya tıkladıktan sonra hedeflerini yeniden yönlendirdikleri son hedefi maskeleme bağlantıları.

2. Suriye

Ekim ayında, güvenlik camiasında Suriye Elektronik Ordusu (SEA) veya APT-C-27 olarak bilinen ve Suriye’deki insani yardım kuruluşları, gazeteciler ve aktivistler, hükümeti eleştirenler ve rejim karşıtı Özgür Suriye Ordusu ile ilişkili bireyler de dahil olmak üzere Suriye’deki insanları hedef alan bir hack grubunu çökerttik. Araştırmamız, bu tehdit aktörünün son yıllarda Suriye’nin Hava Kuvvetleri İstihbaratı ile bağlantılı bu son faaliyetle birlikte Suriye hükümet güçlerine dahil edildiğini ortaya koydu. Platformumuzda, bu kampanya öncelikle insanları bağlantılara tıklamaları veya kötü amaçlı yazılım indirmeleri için kandırmak için sosyal mühendislik taktikleriyle hedeflemede kendini gösterdi.

Bu tehdit aktörü tarafından uygulamalarımız da dahil olmak üzere internet üzerinden kullanılan aşağıdaki TTP’leri belirledik (tehdit göstergeleri raporun sonunda bulunabilir):

  • Bu grup, kişileri kimlik avı sayfalarını veya kötü amaçlı yazılımları barındıran web sitelerine yönlendirmek için kimlik avı bağlantılarını paylaştı. Kimlik avı kampanyaları, hedeflerini manipüle ederek kimlik bilgilerini Facebook hesaplarına vermek için tasarlanmıştır.
  • Piyasada bulunan bir kombinasyonu kullandılar (örneğin, HWorm/njRAT Windows için) ve özel olarak oluşturulmuş kötü amaçlı yazılım aileleri (örn. Windows için HmzaRat Desktop ve SilverHawk nam-ı diğer HmzaRAT Android için). Örneğin, Birleşmiş Milletler, VPN Secure ve Telegram gibi birkaç popüler sohbet uygulaması da dahil olmak üzere truva atı uygulamaları kapsamında Android kötü amaçlı yazılımları dağıttılar – hepsi saldırgan kontrolündeki web sitelerinde barındırılıyor.
  • Bu grup ayrıca açık kaynaklı mobil uygulama geliştirme aracı Xamarin ile oluşturulan yeni Android kötü amaçlı yazılımlarını kullandı ve şu an itibariyle, genel virüs depolarında yalnızca bir anti-virüs motoru tarafından tespit ediliyor. Bu kötü amaçlı yazılımı, yalnızca Vercel bulut platformunda barındırılan kimlik avı web siteleri aracılığıyla dağıtılan Telegram ve bir Suriye haber uygulamasının truva atı sürümlerinde bulduk.
  • SEA’nın güvendiği kötü amaçlı yazılım aileleri, cihaz tehlikeye girdikten sonra ses ve video kaydetme, dosyaları düzenleme veya alma, arama günlükleri, adres defteri ve kısa mesajlar da dahil olmak üzere bir dizi hassas kullanıcı bilgisi toplayabilir.

3. Suriye

Ekim ayında, güvenlik camiasında APT-C-37 olarak bilinen ve Özgür Suriye Ordusu ile bağlantılı kişileri ve o zamandan beri muhalif güçlere katılan eski askeri personeli hedef alan bir hack grubunu çökerttik. Soruşturmamız, APT-C-37’nin bu faaliyetinin Suriye Hava Kuvvetleri İstihbaratı’nda ayrı bir birim olduğuna inandığımız şeyle bağlantılı. Platformumuzdaki bu işlem, insanları kötü amaçlı yazılım barındıran kötü amaçlı web sitelerine veya insanların Facebook hesaplarına erişmeyi amaçlayan kimlik avı kampanyalarına bağlantılara tıklamaları için kandırmak için sosyal mühendislik taktikleri içeriyordu.

Bu tehdit aktörü tarafından uygulamalarımız da dahil olmak üzere internet üzerinden kullanılan aşağıdaki TTP’leri belirledik (tehdit göstergeleri raporun sonunda bulunabilir):

  • APT-C-37, muhtemelen şirket içinde geliştirilen SSLove olarak bilinen bir Android kötü amaçlı yazılım ailesine ek olarak SandroRAT olarak bilinen emtia kötü amaçlı yazılımlarını kullanmaya devam etti.
  • Bu grup, hedeflerini saldırgan kontrolündeki web sitelerine yönlendirmek için kötü amaçlı yazılım dağıtmak için sosyal mühendisliğe güveniyordu. Bu sitelerden bazıları İslam’la ilgili içeriğe odaklanırken, diğerleri meşru uygulama mağazaları gibi göründü veya Telegram, Facebook, YouTube ve WhatsApp gibi popüler hizmetler gibi görünen benzer alan adlarını kullandı.
  • APT-C-37, arama günlükleri, iletişim bilgileri, cihaz bilgileri, kullanıcı hesapları, fotoğraf çekmek ve saldırgan tarafından belirtilen dosyaları almak gibi hassas kullanıcı verilerini almak için yaygın kötü amaçlı işlevlere sahip Android kötü amaçlı yazılımlarına dayanıyordu.

4. Suriye

Azınlık gruplarını hedef alan bir hack grubunu çökertdik; aktivistler; Sweida, Huran, Qunaitra ve Dara dahil olmak üzere Güney Suriye’deki muhalifler; Kamişl, Kubbani, Menbiç ve El-Hasakah da dahil olmak üzere Kuzey Suriye’deki Kürt gazeteciler, aktivistler; Halk Koruma Birlikleri (YPG) üyeleri; ve Suriye Sivil Savunması (Beyaz Miğferler, gönüllü bir üsd insani yardım kuruluşu). Soruşturmamız, bu faaliyetle Suriye hükümetiyle ilişkili kişiler arasında bağlantılar buldu. Platformumuzda, bu işlem öncelikle sosyal mühendislik ve kötü amaçlı web sitelerine bağlantılar paylaşmak olarak kendini gösterdi.

Bu tehdit aktörü tarafından uygulamalarımız da dahil olmak üzere internet üzerinden kullanılan aşağıdaki TTP’leri belirledik (tehdit göstergeleri raporun sonunda bulunabilir):

  • Bu grup, Uygulama gibi görünen Android kötü amaçlı yazılımlarını barındıran saldırgan kontrollü web sitelerine bağlantılar paylaştı ve Birleşmiş Milletler, Beyaz Miğferler, YPG, Suriye uydu TV, COVID-19, WhatsApp ve YouTube temalı güncellemeler yaptı.
  • Büyük olasılıkla bu işlemin ticari olarak kullanılabilen kötü amaçlı yazılımlara olan güveni nedeniyle, bu grup güvenlik topluluğu tarafından ayrı olarak izlenmemiştir. Bu, bu emtia araçlarını hedefleyen mevcut anti-virüs tespiti sayesinde etkinliklerini sınırlasa da, belki de gürültüde saklanmalarına izin verdi.
  • Bu grubun kullandığı emtia Android kötü amaçlı yazılımları arasında: SpyNote ve SpyMax.

Tehdit Göstergeleri

1. Pakistan

Etki Alanları ve C2’ler:

Alan Tarif
androappstore[.]Com PJobRAT ve Kargaşaya Ev Sahipliği
www[.]apphububstore[.]içinde Ev Sahipliği PJobRAT
appsstore[.]içinde Ev Sahipliği PJobRAT
apkstore.filehubspot[.]Com PJobRAT’a ev sahipliği yaptığına inanılıyor
helloworld.bounceme[.]net PJobRAT için komut ve kontrol sunucusu
dasvidaniya.ddns[.]net PJobRAT için komut ve kontrol sunucusu
gemtool.sytes[.]net PJobRAT için komut ve kontrol sunucusu
saahas.servecounterstrike[.]Com Mayhem için komuta kontrol sunucusu

Karma:

MD5 Tarif Kötü Amaçlı Yazılım Ailesi
7804aa608d73e7a9447ae177c31856fe ViberLite v4 PJobRAT
A80a1B022FDCAA171E454086711DCF35 ViberLite v3 PJobRAT
A4F104E2058261c7dbfc1c69e1de8bce ViberLite v2 PJobRAT
4ce92da8928a8d1d72289d126a9fe2f4 HangOn V4e PJobRAT
A53c74fa923edce0fa5919d11f945bcc HangOn v4 PJobRAT
9fd4b37cbaf0d44795319977118d439d HangOn PJobRAT
7bef7a2a6ba1b2aceb84ff3adb5db8b3 TrendBanter PJobRAT
V21B4327D6881BE1893FD2A8431317F6B Mutlu Sohbet Kargaşa

2. Denİz / APT-C-27

Etki Alanları ve C2’ler:

Etki Alanı / IP Tarif
faccebookaccunt[.]blogspot[.]Com Kimlik bilgisi kimlik avı
ruba-bakkour-facebook[.]blogspot[.]Com Kimlik bilgisi kimlik avı
sohbet[.]tecnova.com[.]Br SilverHawk’ın 2020’deki dağılımı
download-telegram.vercel[.]app SEA’a bağlı kişiler tarafından yeni bir isimsiz Android ailesini dağıtmak için kullanılır
karşıdan yükleme-revo.vercel[.]app SEA’a bağlı kişiler tarafından yeni bir isimsiz Android ailesini dağıtmak için kullanılır
82.137.218[.]185 Komut ve kontrol sunucusu. Çeşitli emtia ve özel Android kötü amaçlı yazılım dağıtmak için kullanılır.

Karma:

MD5 Tarif Kötü Amaçlı Yazılım Ailesi
DF196BD42E1DA1D34C23C8D947561618 Telegram’ın sahte sürümü İsimsiz
ccabc8f4868184a04b032b34d9303810 Truva atı suriye haberleri uygulaması İsimsiz

3. APT-C-37

Etki Alanları ve C2’ler:

Etki Alanı / IP Tarif
82.137.255[.]0 Uzun süre çalışan komut ve denetim sunucusu

Karma:

MD5 Tarif Kötü Amaçlı Yazılım Ailesi
969fe5597a44bf4eb66ebdc7b09ef2c8 WhatsApp’ın sahte sürümü SSLove

4. Adsız Küme

Etki Alanları ve C2’ler:

Etki Alanı / IP Tarif
f-B[.]Bugün SpyMax’a Ev Sahipliği
Haberci[.]Video SpyMax’a Ev Sahipliği
whatsapp-sy[.]Com SpyMax’a Ev Sahipliği
horansız[.]Com SpyMax’a ev sahipliği yaptığına inanılıyor
Dürzi[.]hayat SpyMax’a ev sahipliği yaptığına inanılıyor
suwayda-24[.]Com BelieSpyMax’ı barındırmış olmak
t-ben[.]bağlantı SpyMax’a ev sahipliği yaptığına inanılıyor
lamat-horan[.]Com Adsız Android kötü amaçlı yazılım barındırma
korona karşıtı[.]app SpyMax’a ev sahipliği yaptığına inanılıyor
what-sapp[.]site SpyMax’a ev sahipliği yaptığına inanılıyor
informnapalm[.]net YPG, Suriye Sivil Savunması ve WhatsApp için bir güncelleme gibi davranan kötü amaçlı yazılımlar için truva atı uygulamaları barındırmak.
facebook-yardım merkezi[.]Com Bir WhatsApp güncellemesi gibi davranan SpyMax kötü amaçlı yazılım barındıran eski altyapı.
46.4.83[.]140 Komut ve denetim sunucusu
sputniknews[.]haberler Saldırganın kontrol altında olduğuna inanılıyor
emmashop[.]app Saldırganın kontrol altında olduğuna inanılıyor
yüz kitabı[.]Xyz Saldırganın kontrol altında olduğuna inanılıyor.

Karma:

MD5 Tarif Kötü Amaçlı Yazılım Ailesi
762acdd53eb35cd48686b72811ba9f3c Lamat-horan’da barındırıldı[.]Com.
İlk kez 2019’da görüldü.
VT’de 0 algılama.
İsimsiz
FCF357556C3AF14BAB820810F5E94436 f-b üzerinde barındırıldı[.]Bugün.
Suriye uydu TV uygulaması gibi.
SpyMax
E8a528491b28e4d62a472da7396c7047 f-b üzerinde barındırıldı[.]Bugün.
YouTube güncellemesi gibi.
SpyMax
1c16ee8b2f0dff7280e1d97522ee7e3f Informnapalm’da barındırıldı[.]net.
Suriye temalı bir APK.
SpyNote
ce274c0bd0743695529a43d7992e2d2c Informnapalm’da barındırıldı[.]net.
WhatsApp güncellemesi gibi görünmek.
SpyMax
185062606b168f04b8b583045d300be5 Informnapalm’da barındırıldı[.]net.
YPG için bir uygulama gibi görünen.
SpyMax
C2e55b0d7be1c1991a5b70be7280e528 Informnapalm’da barındırıldı[.]net.
Suriye Sivil Savunması için bir uygulama gibi görünen.
SpyMax

Benzer Yazılar

Yorum eklemek için giriş yapmalısınız.