‘APT-C-23’ olarak izlenen Hamas destekli bilgisayar korsanlığı grubunun, savunma, hukuk, uygulama ve devlet kurumlarında çalışan İsrailli yetkilileri yayınlarken, nihayetinde yeni kötü amaçlı yazılımların yayılmasına yol açtığı tespit edildi.
Kampanya, sahte sosyal medya profilleri oluşturmak ve casus yazılım göndermeden önce hedeflerle uzun vadeli bir ilişki kurmak gibi üst düzey sosyal mühendislik hilelerini içeriyor.
Analistlere göre siber sebepBu yeni kampanyaya ‘Sakallı Barbie Operasyonu’ adını veren APT-C-23, Windows ve Android cihazlar için casusluğa yönelik yeni özel arka kapılar da kullanıyor.
Sahte Facebook profilleri
Tehdit aktörleri, çekici kadınların sahte kimliklerini ve çalıntı veya AI tarafından oluşturulan görüntülerini kullanarak birkaç sahte Facebook profili oluşturdu ve hedeflere bu profiller aracılığıyla yaklaşıyor.
Operatörler, orijinal görünmeleri için aylarca bu profillerin küratörlüğünü yaptı, İbranice gönderiler yayınladı ve İsrail’deki grupları ve popüler sayfaları beğendi.
Bu profillerin operatörleri, gerçekte İsrail polisinde, savunma kuvvetlerinde, acil servislerde veya hükümette çalışan kişileri hedef alan tüm bir arkadaş ağı oluşturuyor.
Düşmanlar, hedefle bir süre etkileşimde bulunarak güvenini kazandıktan sonra, sözde daha iyi gizlilik için konuşmayı WhatsApp’a taşımayı önerir.
Bu, tehdit aktörlerinin aslında VolatileVenom kötü amaçlı yazılımı olan sözde daha gizli bir Android IM uygulamasına başka bir pivot önermesiyle konuşmanın erotik bir dönüş aldığı zamandır.
Aynı zamanda, operatör cinsel bir video içerdiği iddia edilen, ancak gerçekte BarbWire arka kapısı için bir indirici olan bir RAR dosyasına bir bağlantı gönderir.
Yenilenmiş Android casus yazılımı
VolatileVenom’dan başlayarak, bu Android kötü amaçlı yazılımı, çoğunlukla Wink Chat olan bir mesajlaşma uygulaması olarak kendini gizler.
Cybereason, bu arka kapının APT-C-23 tarafından en az Nisan 2020’den beri kullanıldığını ancak o zamandan beri ek özelliklerle zenginleştirildiğini açıklıyor.
İlk başlatma ve kayıt işlemi sırasında, uygulama sahte bir hata görüntüler ve kendisini cihazdan otomatik olarak kaldıracağını bildirir.
Ancak gerçekte, aşağıdaki işlevleri yerine getirerek arka planda çalışmaya devam eder:
- SMS mesajlarını çalma
- Kişi listesi bilgilerini okuyun
- Fotoğraf çekmek için cihazın kamerasını kullanın
- Şu uzantılara sahip dosyaları çalın: pdf, doc, docs, ppt, pptx, xls, xlsx, txt, text
- Aşağıdaki uzantılara sahip resimleri çalın: jpg, jpeg, png
- Ses kaydı
- Facebook ve Twitter gibi popüler uygulamaların kimlik bilgilerini çalmak için Kimlik Avı kullanın
- Sistem bildirimlerini sil
- Yüklü uygulamaları alın
- Wi-Fi’yi yeniden başlat
- Aramaları / WhatsApp aramalarını kaydedin
- Arama günlüklerini ayıkla
- Dosyaları virüslü cihaza indirin
- Ekran görüntüsü al
- Aşağıdaki uygulamaların bildirimlerini okuyun: WhatsApp, Facebook, Telegram, Instagram, Skype, IMO, Viber
- Sistem tarafından iletilen tüm bildirimleri atar
Kurbanın cihazı Android 10 veya sonraki bir sürümünü çalıştırıyorsa, uygulama bir Google Play, Chrome veya Google Haritalar simgesi kullanır. Daha önceki Android sürümlerinde uygulama simgesini tamamen gizler.
Barb(ie) ve BarbWire kötü amaçlı yazılımı
Yayın balığı girişimlerinin bir parçası olarak, tehdit aktörleri sonunda hedefe çıplak fotoğraflar veya videolar olduğu iddia edilen bir RAR dosyası gönderecek.
Ancak bu RAR dosyası, BarbWire arka kapısının yüklenmesine yol açan Barb(ie) indirici kötü amaçlı yazılımını içerir.
Cybereason tarafından görülen bir Barb(ie) örneği “Windows Bildirimleri” dosya adına sahiptir ve başlatıldığında bazı anti-analiz kontrolleri gerçekleştirir.
Ardından, Barb(ie), komuta ve kontrol sunucularına (C2) bağlanır ve bir sistem kimliği profili gönderirken, aynı zamanda iki zamanlanmış görev oluşturarak kalıcılık sağlar. Son olarak, cihaza BarbWire arka kapısını indirir ve kurar.
BarbWire, aşağıdakiler gibi kapsamlı yeteneklere sahip tam teşekküllü bir arka kapıdır:
- kalıcılık
- İşletim Sistemi Keşfi (kullanıcı adı, mimari, Windows sürümü, kurulu AV ürünleri)
- Veri şifreleme
- tuş günlüğü
- Ekran yakalama
- Ses kaydı
- Ek kötü amaçlı yazılım indirin
- Yerel/harici sürücüler ve dizin numaralandırma
- Belirli dosya türlerini çalın ve verileri RAR biçiminde sızdırın
Cybereason, APT-C-23 grubu tarafından aktif olarak geliştirildiğini gösteren BarbWire’ın en az üç farklı varyantını örnekleyebildi.
gelişen kampanyalar
APT-C-23, birçok uygulamada kullanıldığını gördüğümüz birçok tekniği kullanır. geçmiş kampanyalar karşısında İsrail hedefleri ancak yeni araçlarla gelişmeye devam ediyor ve daha karmaşık sosyal mühendislik çabalar.
Sakallı Barbie Operasyonu ile önceki kampanyalar arasındaki bir fark, örtüşen bir altyapının olmaması, grubun tespitten kaçınma konusundaki ilgisini gösteriyor.
Biri Windows ve diğeri Android için olmak üzere iki arka kapının kullanılması, tehdit aktörü için başka bir tırmanmadır ve güvenliği ihlal edilen hedefler için çok agresif casuslukla sonuçlanır.