- Pakistan ve Suriye’den dört farklı hacker grubuna karşı harekete geçtik.
- Pakistan’dan gelen kötü niyetli faaliyet Afganistan’daki insanları hedef aldı.
- Suriye’den üç ayrı hack grubu, Suriye’de sivil toplum, gazeteciler, insani yardım kuruluşları ve rejim karşıtı askeri güçler de dahil olmak üzere çok çeşitli insanları hedef aldı. Bu üç hack grubunun her birinin Suriye Hava Kuvvetleri İstihbaratı da dahil olmak üzere Suriye hükümetiyle bağlantıları vardı.
Bugün, son birkaç aydır Pakistan ve Suriye’deki dört farklı hacker grubuna karşı yaptığımız eylemleri paylaşıyoruz. Bu kötü niyetli grupları bozmak için hesaplarını devre dışı bırakıldık, alan adlarının platformumuzda yayınlanmasını engelledik, sektör akranlarımız, güvenlik araştırmacıları ve kolluk kuvvetlerimizle bilgi paylaştık ve bu bilgisayar korsanları tarafından hedef alındığını düşündüğümüz kişileri uyardık.
Pakistan’dan gelen grup — güvenlik sektöründe SideCopy — Kabil’deki önceki Afgan hükümeti, ordusu ve kolluk kuvvetleriyle bağlantısı olan kişileri hedef alıp verdi. Suriye’de, Suriye hükümetiyle bağlantısı olan üç farklı hacker grubunu kaldırdık. Suriye’deki ilk ağ — Suriye Elektronik Ordusu — insan hakları aktivistlerini, gazetecileri ve iktidar rejimine karşı çıkan diğer grupları hedef aldı. Bu faaliyeti Suriye Hava Kuvvetleri İstihbaratı ile ilişkilendirdik. Güvenlik camiasında APT-C-37 olarak bilinen Suriye’den gelen ikinci ağ, Özgür Suriye Ordusu ile bağlantılı kişileri ve o zamandan beri muhalif güçlere katılan eski askeri personeli hedef aldı. Soruşturmamız, APT-C-37’nin bu faaliyetinin Suriye Hava Kuvvetleri İstihbaratı’nda ayrı bir birim olduğuna inandığımız şeyle bağlantılı. Son olarak, Suriye’den gelen üçüncü ağ azınlık gruplarını, aktivistleri, muhalifleri, Kürt gazetecileri, aktivistleri, Halk Koruma Birlikleri (YPG) üyelerini ve gönüllü olarak insani yardım kuruluşu olan Suriye Sivil Savunma veya Beyaz Miğferler’i hedef aldı. Soruşturmamız, bu faaliyetle Suriye hükümetiyle ilişkili kişiler arasında bağlantılar buldu.
Meta’nın tehdit istihbaratı analistleri ve güvenlik uzmanları, siber casusluk kampanyaları, etki operasyonları ve platformumuzu ulus-devlet aktörleri ve diğer gruplar tarafından hacklemek. Bu çabaların bir parçası olarak ekiplerimiz, düşman operasyonlarını devre dışı bırakarak, hesaplarını korumak için adım atmaları gerekip gerekmemesi gerektiğini kullanıcılara bildirerek, bulgularımızı herkese açık olarak paylaşarak ve ürünlerimizin güvenliğini artırmaya devam ederek düzenli olarak düşman operasyonlarını sekteye uğratmaktadır.
Her kesintiyle ilgili ayrıntılar şunlardır:
1. Pakistan
Ağustos ayında, pakistan’dan bir grup hacker’ı kaldırdık. SideCopy‘ nin Afganistan’daki insanları, özellikle de Kabil’deki Afgan hükümeti, askeri ve kolluk kuvvetleriyle bağlantısı olanları hedef aldığını söyledi. Devam eden kriz ve o dönemdeki hükümet çöküşü göz önüne alındığında, soruşturmayı tamamlamak ve platformumuzdaki insanları korumak, bulgularımızı endüstri akranları, kolluk kuvvetleri ve araştırmacılarla paylaşmak ve hedef alındığına inandığımız kişileri uyarmak için hızlı bir şekilde harekete geçtik. Buna ek olarak, biz kullanıma sunulu Afganistan’daki insanların Facebook hesaplarını korumaları için bir dizi güvenlik önlemi.
Bu kötü amaçlı etkinlik, arkasında kimin olduğunu karartırken iyi kaynaklı ve kalıcı bir işlemin ayırt edici özelliklerine sahipti. Platformumuzda, bu siber casusluk kampanyası Nisan ve Ağustos 2021 arasında arttı ve öncelikle kötü amaçlı yazılım barındıran kötü amaçlı web sitelerine bağlantılar paylaşmada kendini gösterdi.
Bu tehdit aktörü tarafından uygulamalarımız da dahil olmak üzere internet üzerinden kullanılan aşağıdaki taktikleri, teknikleri ve prosedürleri (TTP’ler) belirledik (tehdit göstergeleri raporun sonunda bulunabilir):
- Bu grup, potansiyel hedeflerle güven oluşturmak ve kimlik avı bağlantılarına tıklamaları veya kötü amaçlı sohbet uygulamalarını indirmeleri için onları kandırmak için romantik yemler olarak hayali kişilikler yarattı .
- Sahte uygulama mağazaları işlettiler ve ayrıca insanları Facebook kimlik bilgilerini vermeleri için manipüle etmek için kötü amaçlı kimlik avı sayfaları barındırmak için meşru web sitelerini tehlikeye attılar.
- SideCopy, Viber ve Signal gibi görünen haberciler veya cihazları tehlikeye atacak kötü amaçlı yazılım içeren özel yapım Android uygulamaları da dahil olmak üzere, insanları truva atlı sohbet uygulamaları yüklemeleri için kandırmaya çalıştı (yani, insanları gerçek amacı hakkında yanıltan kötü amaçlı yazılım içeriyordu). Bunlar arasında HappyChat, HangOn, ChatOut, TrendBanter, SmartSnap ve TeleChat adlı uygulamalar vardı – bazıları aslında çalışan sohbet uygulamalarıydı.
- Bu uygulamalar genellikle iki kötü amaçlı yazılım ailesi içeriyordu: PJobRAT ve daha önce bildirilmemiş bir Android kötü amaçlı yazılım türüne Mayhem adını verdik. Bu iki aile, kişilerin kişi listesini, kısa mesajlarını, arama kayıtlarını, konum bilgilerini, cihazdaki medya dosyalarını veya bağlı harici depolama alanını ve genel cihaz meta verilerini alma yeteneğine sahiptir. Ayrıca erişilebilirlik hizmetleri aracılığıyla cihazın ekranındaki içeriği kazıyabilirler.
- Ağustos 2021’de grup bit kullanmaya geçti[.]ly URL kısaltıcı, kötü amaçlı bağlantıya tıkladıktan sonra hedeflerini yeniden yönlendirdikleri son hedefi maskeleme bağlantıları.
2. Suriye
Ekim ayında, güvenlik camiasında Suriye Elektronik Ordusu (SEA) veya APT-C-27 olarak bilinen ve Suriye’deki insani yardım kuruluşları, gazeteciler ve aktivistler, hükümeti eleştirenler ve rejim karşıtı Özgür Suriye Ordusu ile ilişkili bireyler de dahil olmak üzere Suriye’deki insanları hedef alan bir hack grubunu çökerttik. Araştırmamız, bu tehdit aktörünün son yıllarda Suriye’nin Hava Kuvvetleri İstihbaratı ile bağlantılı bu son faaliyetle birlikte Suriye hükümet güçlerine dahil edildiğini ortaya koydu. Platformumuzda, bu kampanya öncelikle insanları bağlantılara tıklamaları veya kötü amaçlı yazılım indirmeleri için kandırmak için sosyal mühendislik taktikleriyle hedeflemede kendini gösterdi.
Bu tehdit aktörü tarafından uygulamalarımız da dahil olmak üzere internet üzerinden kullanılan aşağıdaki TTP’leri belirledik (tehdit göstergeleri raporun sonunda bulunabilir):
- Bu grup, kişileri kimlik avı sayfalarını veya kötü amaçlı yazılımları barındıran web sitelerine yönlendirmek için kimlik avı bağlantılarını paylaştı. Kimlik avı kampanyaları, hedeflerini manipüle ederek kimlik bilgilerini Facebook hesaplarına vermek için tasarlanmıştır.
- Piyasada bulunan bir kombinasyonu kullandılar (örneğin, HWorm/njRAT Windows için) ve özel olarak oluşturulmuş kötü amaçlı yazılım aileleri (örn. Windows için HmzaRat Desktop ve SilverHawk nam-ı diğer HmzaRAT Android için). Örneğin, Birleşmiş Milletler, VPN Secure ve Telegram gibi birkaç popüler sohbet uygulaması da dahil olmak üzere truva atı uygulamaları kapsamında Android kötü amaçlı yazılımları dağıttılar – hepsi saldırgan kontrolündeki web sitelerinde barındırılıyor.
- Bu grup ayrıca açık kaynaklı mobil uygulama geliştirme aracı Xamarin ile oluşturulan yeni Android kötü amaçlı yazılımlarını kullandı ve şu an itibariyle, genel virüs depolarında yalnızca bir anti-virüs motoru tarafından tespit ediliyor. Bu kötü amaçlı yazılımı, yalnızca Vercel bulut platformunda barındırılan kimlik avı web siteleri aracılığıyla dağıtılan Telegram ve bir Suriye haber uygulamasının truva atı sürümlerinde bulduk.
- SEA’nın güvendiği kötü amaçlı yazılım aileleri, cihaz tehlikeye girdikten sonra ses ve video kaydetme, dosyaları düzenleme veya alma, arama günlükleri, adres defteri ve kısa mesajlar da dahil olmak üzere bir dizi hassas kullanıcı bilgisi toplayabilir.
3. Suriye
Ekim ayında, güvenlik camiasında APT-C-37 olarak bilinen ve Özgür Suriye Ordusu ile bağlantılı kişileri ve o zamandan beri muhalif güçlere katılan eski askeri personeli hedef alan bir hack grubunu çökerttik. Soruşturmamız, APT-C-37’nin bu faaliyetinin Suriye Hava Kuvvetleri İstihbaratı’nda ayrı bir birim olduğuna inandığımız şeyle bağlantılı. Platformumuzdaki bu işlem, insanları kötü amaçlı yazılım barındıran kötü amaçlı web sitelerine veya insanların Facebook hesaplarına erişmeyi amaçlayan kimlik avı kampanyalarına bağlantılara tıklamaları için kandırmak için sosyal mühendislik taktikleri içeriyordu.
Bu tehdit aktörü tarafından uygulamalarımız da dahil olmak üzere internet üzerinden kullanılan aşağıdaki TTP’leri belirledik (tehdit göstergeleri raporun sonunda bulunabilir):
- APT-C-37, muhtemelen şirket içinde geliştirilen SSLove olarak bilinen bir Android kötü amaçlı yazılım ailesine ek olarak SandroRAT olarak bilinen emtia kötü amaçlı yazılımlarını kullanmaya devam etti.
- Bu grup, hedeflerini saldırgan kontrolündeki web sitelerine yönlendirmek için kötü amaçlı yazılım dağıtmak için sosyal mühendisliğe güveniyordu. Bu sitelerden bazıları İslam’la ilgili içeriğe odaklanırken, diğerleri meşru uygulama mağazaları gibi göründü veya Telegram, Facebook, YouTube ve WhatsApp gibi popüler hizmetler gibi görünen benzer alan adlarını kullandı.
- APT-C-37, arama günlükleri, iletişim bilgileri, cihaz bilgileri, kullanıcı hesapları, fotoğraf çekmek ve saldırgan tarafından belirtilen dosyaları almak gibi hassas kullanıcı verilerini almak için yaygın kötü amaçlı işlevlere sahip Android kötü amaçlı yazılımlarına dayanıyordu.
4. Suriye
Azınlık gruplarını hedef alan bir hack grubunu çökertdik; aktivistler; Sweida, Huran, Qunaitra ve Dara dahil olmak üzere Güney Suriye’deki muhalifler; Kamişl, Kubbani, Menbiç ve El-Hasakah da dahil olmak üzere Kuzey Suriye’deki Kürt gazeteciler, aktivistler; Halk Koruma Birlikleri (YPG) üyeleri; ve Suriye Sivil Savunması (Beyaz Miğferler, gönüllü bir üsd insani yardım kuruluşu). Soruşturmamız, bu faaliyetle Suriye hükümetiyle ilişkili kişiler arasında bağlantılar buldu. Platformumuzda, bu işlem öncelikle sosyal mühendislik ve kötü amaçlı web sitelerine bağlantılar paylaşmak olarak kendini gösterdi.
Bu tehdit aktörü tarafından uygulamalarımız da dahil olmak üzere internet üzerinden kullanılan aşağıdaki TTP’leri belirledik (tehdit göstergeleri raporun sonunda bulunabilir):
- Bu grup, Uygulama gibi görünen Android kötü amaçlı yazılımlarını barındıran saldırgan kontrollü web sitelerine bağlantılar paylaştı ve Birleşmiş Milletler, Beyaz Miğferler, YPG, Suriye uydu TV, COVID-19, WhatsApp ve YouTube temalı güncellemeler yaptı.
- Büyük olasılıkla bu işlemin ticari olarak kullanılabilen kötü amaçlı yazılımlara olan güveni nedeniyle, bu grup güvenlik topluluğu tarafından ayrı olarak izlenmemiştir. Bu, bu emtia araçlarını hedefleyen mevcut anti-virüs tespiti sayesinde etkinliklerini sınırlasa da, belki de gürültüde saklanmalarına izin verdi.
- Bu grubun kullandığı emtia Android kötü amaçlı yazılımları arasında: SpyNote ve SpyMax.
Tehdit Göstergeleri
1. Pakistan
Etki Alanları ve C2’ler:
Alan | Tarif |
androappstore[.]Com | PJobRAT ve Kargaşaya Ev Sahipliği |
www[.]apphububstore[.]içinde | Ev Sahipliği PJobRAT |
appsstore[.]içinde | Ev Sahipliği PJobRAT |
apkstore.filehubspot[.]Com | PJobRAT’a ev sahipliği yaptığına inanılıyor |
helloworld.bounceme[.]net | PJobRAT için komut ve kontrol sunucusu |
dasvidaniya.ddns[.]net | PJobRAT için komut ve kontrol sunucusu |
gemtool.sytes[.]net | PJobRAT için komut ve kontrol sunucusu |
saahas.servecounterstrike[.]Com | Mayhem için komuta kontrol sunucusu |
Karma:
MD5 | Tarif | Kötü Amaçlı Yazılım Ailesi |
7804aa608d73e7a9447ae177c31856fe | ViberLite v4 | PJobRAT |
A80a1B022FDCAA171E454086711DCF35 | ViberLite v3 | PJobRAT |
A4F104E2058261c7dbfc1c69e1de8bce | ViberLite v2 | PJobRAT |
4ce92da8928a8d1d72289d126a9fe2f4 | HangOn V4e | PJobRAT |
A53c74fa923edce0fa5919d11f945bcc | HangOn v4 | PJobRAT |
9fd4b37cbaf0d44795319977118d439d | HangOn | PJobRAT |
7bef7a2a6ba1b2aceb84ff3adb5db8b3 | TrendBanter | PJobRAT |
V21B4327D6881BE1893FD2A8431317F6B | Mutlu Sohbet | Kargaşa |
2. Denİz / APT-C-27
Etki Alanları ve C2’ler:
Etki Alanı / IP | Tarif |
faccebookaccunt[.]blogspot[.]Com | Kimlik bilgisi kimlik avı |
ruba-bakkour-facebook[.]blogspot[.]Com | Kimlik bilgisi kimlik avı |
sohbet[.]tecnova.com[.]Br | SilverHawk’ın 2020’deki dağılımı |
download-telegram.vercel[.]app | SEA’a bağlı kişiler tarafından yeni bir isimsiz Android ailesini dağıtmak için kullanılır |
karşıdan yükleme-revo.vercel[.]app | SEA’a bağlı kişiler tarafından yeni bir isimsiz Android ailesini dağıtmak için kullanılır |
82.137.218[.]185 | Komut ve kontrol sunucusu. Çeşitli emtia ve özel Android kötü amaçlı yazılım dağıtmak için kullanılır. |
Karma:
MD5 | Tarif | Kötü Amaçlı Yazılım Ailesi |
DF196BD42E1DA1D34C23C8D947561618 | Telegram’ın sahte sürümü | İsimsiz |
ccabc8f4868184a04b032b34d9303810 | Truva atı suriye haberleri uygulaması | İsimsiz |
3. APT-C-37
Etki Alanları ve C2’ler:
Etki Alanı / IP | Tarif |
82.137.255[.]0 | Uzun süre çalışan komut ve denetim sunucusu |
Karma:
MD5 | Tarif | Kötü Amaçlı Yazılım Ailesi |
969fe5597a44bf4eb66ebdc7b09ef2c8 | WhatsApp’ın sahte sürümü | SSLove |
4. Adsız Küme
Etki Alanları ve C2’ler:
Etki Alanı / IP | Tarif |
f-B[.]Bugün | SpyMax’a Ev Sahipliği |
Haberci[.]Video | SpyMax’a Ev Sahipliği |
whatsapp-sy[.]Com | SpyMax’a Ev Sahipliği |
horansız[.]Com | SpyMax’a ev sahipliği yaptığına inanılıyor |
Dürzi[.]hayat | SpyMax’a ev sahipliği yaptığına inanılıyor |
suwayda-24[.]Com | BelieSpyMax’ı barındırmış olmak |
t-ben[.]bağlantı | SpyMax’a ev sahipliği yaptığına inanılıyor |
lamat-horan[.]Com | Adsız Android kötü amaçlı yazılım barındırma |
korona karşıtı[.]app | SpyMax’a ev sahipliği yaptığına inanılıyor |
what-sapp[.]site | SpyMax’a ev sahipliği yaptığına inanılıyor |
informnapalm[.]net | YPG, Suriye Sivil Savunması ve WhatsApp için bir güncelleme gibi davranan kötü amaçlı yazılımlar için truva atı uygulamaları barındırmak. |
facebook-yardım merkezi[.]Com | Bir WhatsApp güncellemesi gibi davranan SpyMax kötü amaçlı yazılım barındıran eski altyapı. |
46.4.83[.]140 | Komut ve denetim sunucusu |
sputniknews[.]haberler | Saldırganın kontrol altında olduğuna inanılıyor |
emmashop[.]app | Saldırganın kontrol altında olduğuna inanılıyor |
yüz kitabı[.]Xyz | Saldırganın kontrol altında olduğuna inanılıyor. |
Karma:
MD5 | Tarif | Kötü Amaçlı Yazılım Ailesi |
762acdd53eb35cd48686b72811ba9f3c | Lamat-horan’da barındırıldı[.]Com. İlk kez 2019’da görüldü. VT’de 0 algılama. |
İsimsiz |
FCF357556C3AF14BAB820810F5E94436 | f-b üzerinde barındırıldı[.]Bugün. Suriye uydu TV uygulaması gibi. |
SpyMax |
E8a528491b28e4d62a472da7396c7047 | f-b üzerinde barındırıldı[.]Bugün. YouTube güncellemesi gibi. |
SpyMax |
1c16ee8b2f0dff7280e1d97522ee7e3f | Informnapalm’da barındırıldı[.]net. Suriye temalı bir APK. |
SpyNote |
ce274c0bd0743695529a43d7992e2d2c | Informnapalm’da barındırıldı[.]net. WhatsApp güncellemesi gibi görünmek. |
SpyMax |
185062606b168f04b8b583045d300be5 | Informnapalm’da barındırıldı[.]net. YPG için bir uygulama gibi görünen. |
SpyMax |
C2e55b0d7be1c1991a5b70be7280e528 | Informnapalm’da barındırıldı[.]net. Suriye Sivil Savunması için bir uygulama gibi görünen. |
SpyMax |