Ulus-Devlet

Rus devlet destekli tehdit aktörleri, NATO ve AB üyesi ülkelerin diplomatik temsilcilerini hedef alıyor

editör

15 Nis 2023 — 1 min read

CERT Polska ve Askeri Karşı İstihbarat Servisi tarafından birlikte yayınlanan rapora göre gerçekleştirilen analizler sonucunda, kullanılan araçlar ve yöntemler ışığında geçmişte Microsoft tarafından “NOBELIUM”, Mandiant tarafından ise APT29 olarak belirtilen tehdit aktörlerinin bu casusluk kampanyasının arkasında olduğu belirtiliyor.

NOBELIUM yada APT29 olarak anılan bu tehdit aktörünün 2020 yılında dünya çapında binlerce kuruluşu etkileyen ve bir dizi veri ihlaline yol açan SolarWinds tedarik zinciri saldırısı da dahil olmak üzere birçok yüksek profilli olaydan sorumlu olduğu belirtiliyor. Bunlarla birlikte Ukrayna’daki savaşın başlamasıyla da Ukrayna ordusuna ve siyasi partilerine, uluslararası hükümetlere, düşünce kuruluşlarına ve kar amacı gütmeyen kuruluşlara karşı siber saldırılar gerçekleştirdiler.

Gözlemlenen tüm saldırıların başlangıcı olarak kimlik avı saldırı teknikleri kullanılmış. Tehdit aktörleri Avrupa ülkelerinin büyükelçiliklerini taklit eden kimlik avı e-postalarını, diplomatik görevlerdeki seçilmiş personele gönderdiler. Saldırılarda kullanılan e-postaların genellikle mesaj gövdesinde veya ekli bir PDF belgesinde, sözde büyükelçinin takvimine, toplantı ayrıntılarına veya indirilebilir bir dosyaya yönlendiren bir bağlantı yer alıyordu.

Geçmişte gözlemlenen “NOBELIUM” veya “APT29” ile bağlantılı kampanyalarda kullanılan zararlı yazılımı dağıtmak için .ZIP veya .ISO dosyalarını kullanmıştı. CERT Polska tarafından gözlemlenen kampanyaların birinde ise bu dosya formatlarına ek olarak .IMG dosyaları da kullanılmış.

Nobelium, araştırmacılar tarafından yakından takip edilse de CERT Polska tarafından teknik analizleri gerçekleştirilen zararlı dosyaların farklı aşamlarında SNOWYAMBER, HALFRIG ve QUARTERRIG adlı araçlar kullanıldığı gözlemlendi. Bu kapsamda kullanılan araçların, birbirinden bağımsız olması veya etkinliği azalan diğer saldırı araçları yerine kullanılmasıyla casusluk kampanyası sürekli aktif olarak devam etmiş.

CERT Polska ve Askeri Karşı İstihbarat Servisi raporun yayınlandığı sırada casusluk kampanyasının aktif olarak devam ettiğini belirtti.

Bunlar ilginizi çekebilir

Apple, Intel tabanlı Mac'lere yönelik kullanılan iki 0-Day için güncelleştirme duyurdu

Apple, Intel tabanlı Mac sistemlerine yönelik saldırılarda tehdit aktörleri tarafından istismar edilen iki tane sıfırıncı gün açığı (0-Day) ile ilgili acil güvenlik güncellemeleri yayınladı. Şirket tarafından yayınlanan ayrıntılara göre MacOS Sequoia'da CVE-2024-44308 olarak izlenen JavaScriptCore ve CVE-2024-44309 olarak izlenen WebKit bileşenlerinde zafiyetler yer alıyor. Bu iki zafiyette Google

Siber tehdit istihbaratı girişimi ThreatMon, Pragma Capital Partners'tan yatırım aldı

Siber tehdit istihbaratı alanınında çözümler sunan ThreatMon, Pragma Capital Partners'tan (PCP) yatırım aldı. Gerçekleşen yatırım ile ilgili herhangi bir finansal veri paylaşılmadı. 2018 yılında kurulan ThreatMon'un verdiği hizmetler arasında atak yüzeyi istihbaratı, siber tehdit istihbaratı, marka koruması, darkweb izleme ve tedarik zinciri gibi alanlar yer alıyor

WhatsApp - NSO Group davası: 0-Click ve diğer saldırı vektörleri

Yayınlanan WhatsApp mahkeme dosyasına göre NSO Group, 'Hummingbird' olarak bilinen bir WhatsApp tabanlı vektör ailesinin parçası olan ve 0-Click(sıfır tıklamalı) barındıran "Erised" adlı bir saldırı vektörü kullanmış.

Bitdefender, ShrinkLocker fidye yazılımı için şifre çözücü yayınladı

Siber güvenlik şirketi Bitdefender, geçmişten kalma kalıntıları kullanan basit ama etkili bir fidye yazılımı olarak tanımladığı ShrinkLocker ile ilgili şifre çözücü yayınladı. Bitdefender tarafından ShrinkLocker ile ilgili hem şifre çözücü hem de fidye yazılımın nasıl çalıştığı ile ilgili ayrıntılı bir teknik araştırma yayınlandı. ShrinkLocker'ın daha karmaşık şifreleme algoritmalarına