Saldırı Sponsorunun Kod Adı
Siber güvenlik şirketi ESET, Balistik Bobcat kümesinin başlattığı Sponsor adlı yeni bir saldırıyı keşfetti. Kurbanlar çoğunlukla İsrail, Brezilya ve Birleşik Arap Emirlikleri’nde bulunuyor. Otomotiv, imalat, mühendislik, finansal hizmetler, medya, sağlık, teknoloji ve telekomünikasyon şirketleri dahil. En az 34 hedefi etkilediği bildirilen Sponsor saldırısına Sponsor Erişimi adı verildi.
ESET Research tarafından APT35/APT42 olarak takip edilen Balistik Bobcat (Charming Kitten, TA453 veya PHOSPHORUS olarak da bilinir); İnsan hakları aktivistleri ve gazetecilerin yanı sıra eğitim, hükümet ve sağlık kurumlarını da hedef alan, muhtemelen İran’la bağlantılı, gelişmiş ve kalıcı bir tehdit kümesi. Kümenin en aktif olduğu bölgeler İsrail, Orta Doğu ve ABD’dir. Amacı siber casusluk olan kümenin 34 kurbanının çoğu İsrail’de, yalnızca ikisi Brezilya ve BAE’de. İsrail’de otomotiv, imalat, mühendislik, finansal hizmetler, medya, sağlık, teknoloji ve telekomünikasyon şirketlerine saldırı düzenlendi.
Sponsor Erişimi olarak adlandırılan yeni keşfedilen saldırının 34 kurbanından 16’sı için Balistik Bobcat sistemlerine erişimi olan tek tehdit aktörünün tehdit aktörü olmadığı anlaşılıyor. Kurbanların çok çeşitli olması ve bazı kurbanların istihbarat değerinin çok düşük olması nedeniyle Balistik Bobcat’in önceden seçilmiş kurbanlara yönelik amaçlı bir baskın düzenlemek yerine tarama ve istismar etme davranışı sergilediği düşünülebilir. Bu nedenle Balistik Bobcat, İnternet’e bakan Microsoft Exchange sunucularındaki yamalanmamış güvenlik açıkları aracılığıyla fırsat hedeflerini aramaya devam ediyor.
Sponsorun arka kapısını bulan ve en son Balistik Bobcat saldırısını analiz eden ESET araştırmacısı Adam Burgher “Grup, yeni keşfedilen Sponsor arka kapısı gibi bazı özel uygulamalarla desteklenen çeşitli, açık kaynaklı bir araç seti kullanmaya devam ediyor. “Savunma tarafında, sağlayıcılara internet özellikli tüm cihazlara yama yapmalarını ve kuruluşlarında ortaya çıkan yeni uygulamalara karşı tetikte olmalarını tavsiye ediyoruz.”
Sponsorun arka kapısı, diskte saklanan yapılandırma belgelerini kullanır. Bu belgeler toplu kağıtlarla gizlice dağıtılır ve tarama motorları tarafından tespit edilmekten kaçınmak için kasıtlı olarak zararsız görünecek şekilde tasarlanmıştır. Balistik Bobcat, saldırısını tamamladığı ve CISA Uyarısı AA21-321A’da belgelenen PowerLess saldırısını tamamladığı Eylül 2021’de yeni arka kapıyı konuşlandırmaya başladı.
Pandemi sırasında Ballistic Bobcat, Dünya Sağlık Örgütü ve Gilead Pharmaceuticals gibi COVID-19 ile ilgili kuruluşları ve tıbbi araştırma çalışanlarını hedef alıyordu.
Kaynak: (BYZHA) Beyaz Haber Ajansı