bilgisayarci
FD Üye
Trend Micro araştırmacıları tarafından 17 Ağustos’ta yayınlanan rapora nazaran, Confucius ismiyle anılan bir gelişmiş tehdit grubunca (APT / Advanced Persistent Threat) Pakistan ordusuna yönelik yapılan yeni kimlik avı teşebbüsü tespit edildi.
NSO Group tarafından geliştirilen Pegasus ziyanlı yazılımının toplumda yarattığı dehşet havasından dolayı kurbanlarını etkilemek hedefiyle bunu kullanan tehdit aktörleri, evvel inanç veriyor. Sonrasında ise asıl emellerine yönelik teşebbüslerde bulunuyorlar.
Pakistan ordusuna ve ordu mensuplarına yapılan atak genel itibariyle iki evreden oluşuyor. Birinci etapta saldırganlar legal bir Pakistan gazetesinin makalesinden kopyalanmış bir e-postayı kurbanlara gönderiyor. E-mail spoofing tekniğinden faydalanarak mailin “Pakistan Silahlı Kuvvetleri İrtibat Kanalı” ([email protected]) üzere gösterilmesi sağlanıyor.
Birinci gönderilen saf mailden çabucak sonrasında ise kelamda Pakistan ordusunun Pegasus casus yazılımı ile ilgili yapmış olduğu bir ihtar maili üzere bir ileti gönderiliyor. Bu mailde ise kısaltılmış linkle indirilen şifreli bir makûs maksatlı Word belgesi ve bu evrakın parolası mevcut. Böylelikle makûs hedefli Word evrakına ilişkin temas içeren mailler rastgele bir güvenlik sistemine takılmıyor. Saldırganlar bu maili de tekrar “Pakistan Silahlı Kuvvetleri” üzere ([email protected]) gönderiyor.
Mailler Trend Micro’nun yapmış olduğu araştırmaya nazaran saldırganlarca ele geçirilen diğer günahsız mail sunucuları ve Pakistan’daki bir ExpressVPN node’undan gönderiliyor.
Maildeki ek indirilip açıldığında şifre isteniyor, kurban şifreyi de girince makro içeren bir Word dokümanı olduğu anlaşılıyor. Makrolara müsaade verildiği anda çeşitli süreçlerden çabucak sonra sistem ele geçirilmiş oluyor.
Tezlere nazaran Confucius APT, Hindistan devleti tarafından desteklenen ve finanse edilen bir küme. Bilhassa Pakistan’ın askeri ve değerli kuruluşlarını amaç almasıyla biliniyor.