Husi yanlısı olduğu iddia edilen tehdit aktörleri, Orta Doğu’daki orduları yeni bir casus yazılımla hedef aldı
Husi yanlısı tehdit aktörlerine ait olduğu iddia edilen ve keşfedilen yeni casus yazılım, 2019 yılından bu yana Orta Doğu’daki orduları hedef aldığı yayınlanan yeni bir raporla ortaya çıktı. Sayıca az olmasına karşın Türkiye’den de bazı kurbanların olduğu belirtiliyor.
Siber güvenlik şirketi Lookout araştırmacıları tarafından keşfedilen ve GuardZoo adı verilen kötü amaçlı yazılımın, Husi yanlısı tehdit aktörlerine ait olduğu iddia ediliyor. Kötü amaçlı yazılım, bulaştığı cihazlardaki fotoğraflar, belgeler ve diğer dosyaları toplamayı amaçlıyor.
GuardZoo’nun 2019 ve 2020’deki ilk hedefleme işlemlerinde “Telefon bulma” ve “Dokunma Önleme” gibi daha genel konuların yer aldığı temalar kullanılmış.. Daha sonra ve devam eden süreçlerde ise bir değişime gidilmiş ve askeri odaklı temalar kullanılmış. Ayrıca bazı zamanlarda dini temalarında kullanıldığı da gözlemlenmiş. Dağıtım ve enfeksiyonların ise büyük ölçüde WhatsApp, WhatsApp Business ve tarayıcı indirmeleri yoluyla kaynaklandığı belirtilmiş.
GuardZoo bir cihazı enfekte ettikten sonra komuta ve kontrol sistemine bağlanıyor ve her yeni kurbana dört komut gönderiyor; bu komutlar arasında yerel günlük kaydını devre dışı bırakmak ve tüm dosyalar için meta verileri yüklemek de yer alıyor.
Aralık 2022’ye kadar uzanan ve güvenli olmayan C2 sunucu kayıtlarına göre yaklaşık 450 kurbanın çoğu Yemen, Suudi Arabistan, Mısır ve Umman’da yer alıyor. Daha az sayıda kurban ise Birleşik Arap Emirlikleri, Türkiye ve Katar’da bulunuyor. Günlüklerde kurbanlara ait cihazların IP adresleri ve mobil operatör ayrıntıları da yer alıyormuş. Uygulamalarda ayrıca Yemen Silahlı Kuvvetleri ve Suudi Silahlı Kuvvetleri Komuta ve Kurmay Koleji gibi farklı ülkelerin askeri amblemleri de kullanılmış.
Lookout ile birlikte aynı gün içerisinde Recorded Future araştırmacıları da bir diğer muhtemel Husi yanlısı grup olan OilAlpha’nın, Yemen’deki insan hakları ve insani yardım kuruluşlarını kötü amaçlı Android uygulamalarıyla hedef aldığını belgeleyen yeni bir rapor yayınlamıştı.