Öncelikli olarak yenilenebilir enerji ve endüstriyel teknoloji kuruluşlarını hedefleyen büyük ölçekli bir siber casusluk kampanyasının en az 2019’dan beri aktif olduğu ve dünya çapında on beşten fazla kuruluşu hedef aldığı keşfedildi.
Kampanya güvenlik araştırmacısı tarafından keşfedildi William Thomas, DNS taramaları ve genel sanal alan gönderimleri gibi OSINT (açık kaynak zekası) tekniklerini kullanan bir Curated Intelligence güven grubu üyesi.
Thomas’ın analizi, saldırganın özel bir ‘Posta Kutusu’ araç seti, aktörlerin altyapısına yerleştirilmiş karmaşık olmayan bir kimlik avı paketi ve kimlik avı sayfalarını barındırmak için güvenliği ihlal edilmiş meşru web siteleri kullandığını ortaya çıkardı.
Kimlik avı sayfalarının çoğu “*.eu3 üzerinde barındırıldı”[.]biz”, “*.eu3[.]org” ve “*.eu5[.]net” alan adlarında yer alırken, güvenliği ihlal edilen sitelerin çoğu Brezilya’da bulunur (“*.com[.]br”).
Yenilenebilir enerji sektörünü hedeflemek
Kimlik avı kampanyasının amacı, yenilenebilir enerji firmaları, çevre koruma kuruluşları ve genel olarak endüstriyel teknoloji için çalışanların oturum açma kimlik bilgilerini çalmaktır.
organizasyon örnekleri kimlik avı saldırılarının hedefi Dahil etmek:
- Schneider Elektrik
- bal kuyusu
- Huawei
- HiSilikon
- Telekom Romanya
- Wisconsin Üniversitesi
- Kaliforniya Eyalet Üniversitesi
- Utah Eyalet Üniversitesi
- Kırcaali Hidroelektrik Santrali (Bulgaristan)
- CEZ Elektro (Bulgaristan)
- California Hava Kaynakları Kurulu
- Morris County Belediye Kamu Hizmetleri Kurumu
- Tayvan Ormancılık Araştırma Enstitüsü
- Karbon Saydamlık Programı
- Sorema (İtalyan geri dönüşüm firması)
Araştırmacı, kampanyada kullanılan kimlik avı e-postalarının hiçbir örneğini alamadı, ancak Thomas, açılış sayfalarına dayanarak e-postaların “Posta Kutusu depolama alanınız dolu” cazibesi kullandığına inanıyor.
bilinmeyen aktör
Thomas bu kampanyayı herhangi bir belirli aktöre bağlayamadı, ancak kanıtlar, biri APT28’den (diğer adıyla FancyBear) ve diğeri Konni’den (Kuzey Kore aktörleri) olmak üzere iki faaliyet grubuna işaret ediyor.
Google Tehdit Analizi Grubu araştırmacıları kısa süre önce, birkaç “eu3″ kullanan APT28’e atfedilen kimlik avı etkinliği buldu.[.]biz” alan adları.
Aralık ortasından beri, Googleitt_ TAG, Ukrayna’yı hedefleyen devam eden APT28 kimlik avı kampanyaları tespit etti. Bazı IOC’ler:
tüketici paneli.eu3[.]biz
tüketici paneli.eu3[.]kuruluş
tüketicilerpanelsrv.eu3[.]kuruluş
koruma paneli.eu3[.]biz
updateservicecenter.blogspot[.]ile– billy leonard (@billyleonard) 14 Ocak 2022
Her iki grup için bir örtüşme noktası, kimlik avı kimlik bilgileri için kullanılan ana bilgisayar adlarının, son zamanlarda birçok analist raporunda yer alan Zetta Hosting Solutions’a ait olmasıdır.
“Konni”, içinde Zetta Hosting Çözümü alan adlarını kullandı Diplomat hedefli kampanya tarafından ortaya çıkarılan küme25tarafından analiz edilen bir T406 (Kore korsanları) kampanyasında da kanıt noktası.
Thomas, BleepingComputer’a birçok APT bilgisayar korsanlığı grubunun Zetta’yı kötü niyetli kampanyalarda kullandığını açıkladı.
“Zetta, APT’ler ve kötü amaçlı yazılımlar tarafından çok kullanılıyor ve bilmeseler çok şaşırırdım. Büyük bir şirket değiller. Tehdit aktörleri ayrıca altyapıyı hızlı bir şekilde kurabilecekleri bu tür ücretsiz ana bilgisayar adı hizmetlerini de seviyor, özgürce ve anonim olarak.” – Thomas.
Ancak araştırmacı, Zetta Hosting’in kötü niyetli kampanyalara bilerek yardım ettiğine dair elinde kanıt veya somut kanıt bulunmadığının altını çizdi.
Bulgaristan’a ve potansiyel güdüye odaklanın
Yukarıdaki mağduriyet bölümünde bahsedilen iki kuruluş dışında, araştırmacı, 2019’dan itibaren aynı altyapıyla bağlantılı, birden fazla Bulgar bankasını hedefleyen küçük bir faaliyet grubu fark etti.
Araştırmacı, düşmanın fosil yakıtlarla ilgilenen kuruluşlar tarafından, özellikle de Bulgaristan’a enerji satan biri tarafından finansal olarak desteklendiğine inanıyor. yenilenebilir bir tehdit olarak.
Bankaların önceki hedeflenmesi, bankaların durumu hakkında istihbarat toplama girişimi olabilir. finansman ve inşaat yeni yenilenebilir enerji tesislerinin
APT28, devlete bağlı bir Rus grubudur ve Bulgaristan’ın ithalat yaptığı bilinmektedir. önemli miktarda Rus doğalgazı, bu nedenle bu kampanya ile belirli aktörler arasındaki bağlantı, bu noktada kanıtlanmamış olsa bile mantıklı bir temele sahiptir.