Trend Micro araştırmacıları tarafınca 17 Ağustos’ta yayınlanan rapora göre, Confucius ismiyle anılan bir gelişmiş tehdit grubunca (APT / Advanced Persistent Threat) Pakistan ordusuna yönelik yapılan yeni kimlik avı teşebbüsü tespit edildi.
NSO Group tarafınca geliştirilen Pegasus ziyanlı yazılımının toplumda yarattığı dehşet havasından ötürü kurbanlarını etkilemek hedefiyle bunu kullanan tehdit aktörleri, evvel itimat veriyor. daha sonrasında ise asıl emellerine yönelik teşebbüslerde bulunuyorlar.
Pakistan ordusuna ve ordu mensuplarına yapılan taarruz genel itibariyle iki etaptan oluşuyor. Birinci etapta saldırganlar legal bir Pakistan gazetesinin makalesinden kopyalanmış bir e-postayı kurbanlara gönderiyor. E-mail spoofing tekniğinden faydalanarak mailin “Pakistan Silahlı Kuvvetleri Bağlantı Kanalı” ([email protected]) üzere gösterilmesi sağlanıyor.
Birinci gönderilen pak mailden daha sonrasındasında ise kelamda Pakistan ordusunun Pegasus casus yazılımı ile ilgili yapmış olduğu bir ihtar maili üzere bir ileti gönderiliyor. Bu mailde ise kısaltılmış linkle indirilen şifreli bir berbat hedefli Word belgesi ve bu evrakın parolası mevcut. bu biçimdece makûs gayeli Word belgesine ilişkin temas içeren mailler rastgele bir güvenlik sistemine takılmıyor. Saldırganlar bu maili de bir daha “Pakistan Silahlı Kuvvetleri” üzere ([email protected]) gönderiyor.
Saldırganların göndermiş olduğu makûs gayeli mailin ekran imajı. – Fotoğraf Kaynağı: Trend Micro
Mailler Trend Micro’nun yapmış olduğu araştırmaya göre saldırganlarca ele geçirilen diğer saf mail sunucuları ve Pakistan’daki bir ExpressVPN node’undan gönderiliyor.
Maildeki ek indirilip açıldığında şifre isteniyor, kurban şifreyi de girince makro içeren bir Word dokümanı olduğu anlaşılıyor. Makrolara müsaade verildiği anda çeşitli süreçlerden daha sonrasında sistem ele geçirilmiş oluyor.
Tehdit aktörü tarafınca hazırlanan makûs emelli makroya sahip Word evrakı. – Fotoğraf Kaynağı: Trend Micro
Argümanlara nazaran Confucius APT, Hindistan devleti tarafınca desteklenen ve finanse edilen bir küme. Bilhassa Pakistan’ın askeri ve kıymetli kuruluşlarını maksat almasıyla biliniyor.
NSO Group tarafınca geliştirilen Pegasus ziyanlı yazılımının toplumda yarattığı dehşet havasından ötürü kurbanlarını etkilemek hedefiyle bunu kullanan tehdit aktörleri, evvel itimat veriyor. daha sonrasında ise asıl emellerine yönelik teşebbüslerde bulunuyorlar.
Pakistan ordusuna ve ordu mensuplarına yapılan taarruz genel itibariyle iki etaptan oluşuyor. Birinci etapta saldırganlar legal bir Pakistan gazetesinin makalesinden kopyalanmış bir e-postayı kurbanlara gönderiyor. E-mail spoofing tekniğinden faydalanarak mailin “Pakistan Silahlı Kuvvetleri Bağlantı Kanalı” ([email protected]) üzere gösterilmesi sağlanıyor.
Birinci gönderilen pak mailden daha sonrasındasında ise kelamda Pakistan ordusunun Pegasus casus yazılımı ile ilgili yapmış olduğu bir ihtar maili üzere bir ileti gönderiliyor. Bu mailde ise kısaltılmış linkle indirilen şifreli bir berbat hedefli Word belgesi ve bu evrakın parolası mevcut. bu biçimdece makûs gayeli Word belgesine ilişkin temas içeren mailler rastgele bir güvenlik sistemine takılmıyor. Saldırganlar bu maili de bir daha “Pakistan Silahlı Kuvvetleri” üzere ([email protected]) gönderiyor.
Saldırganların göndermiş olduğu makûs gayeli mailin ekran imajı. – Fotoğraf Kaynağı: Trend Micro
Mailler Trend Micro’nun yapmış olduğu araştırmaya göre saldırganlarca ele geçirilen diğer saf mail sunucuları ve Pakistan’daki bir ExpressVPN node’undan gönderiliyor.
Maildeki ek indirilip açıldığında şifre isteniyor, kurban şifreyi de girince makro içeren bir Word dokümanı olduğu anlaşılıyor. Makrolara müsaade verildiği anda çeşitli süreçlerden daha sonrasında sistem ele geçirilmiş oluyor.
Tehdit aktörü tarafınca hazırlanan makûs emelli makroya sahip Word evrakı. – Fotoğraf Kaynağı: Trend Micro
Argümanlara nazaran Confucius APT, Hindistan devleti tarafınca desteklenen ve finanse edilen bir küme. Bilhassa Pakistan’ın askeri ve kıymetli kuruluşlarını maksat almasıyla biliniyor.