Rusya bağlantılı tehdit aktörleri hem PysOps'u hem de yemleme kancası Ukrayna'da yanlış bilgi yaymayı ve Avrupa çapında Microsoft 2023 kimlik bilgilerini çalmayı amaçlayan çok dalgalı bir kampanyayla 365'ün sonunda birkaç ay boyunca kullanıcıları hedef alacak.
ESET araştırmacıları, Texonto Operasyonu olarak adlandırılan operasyonun, ilki Ekim-Kasım 2023'te ve ikincisi Kasım-Aralık 2023'te olmak üzere iki farklı dalga halinde gerçekleştiğini keşfetti. Kampanyanın ana dağıtım yöntemi olarak çeşitli pysop taktikleri ve spam postalar kullandığı ortaya çıktı bir blog yazısı 22 Şubat'ta yayınlandı.
Kronolojik olarak ilk kampanya, Ekim 2023'te Ukraynalı bir savunma şirketini ve Kasım 2023'te bir AB kurumunu hedef alan bir hedef odaklı kimlik avı saldırısıydı. İkincisi, ısınma kesintileri, ilaç kıtlığı ve benzeri konuları kullanan, esas olarak Ukrayna hedeflerine odaklanan bir dezenformasyon kampanyasıydı. Araştırmacılar, yiyecek kıtlığının "Rus propagandasıyla ilgili kampanyanın tipik temaları" olduğunu söyledi.
Farklı amaçları olsa da her ikisi de benzer ağ altyapısını kullanıyordu; bu da ESET'in ikisini birbirine bağlamasını sağladı. Daha sonra, olay örgüsünün biraz değişmesiyle, Texonto Operasyonu ile ilişkili bir URL, Ocak ayında gerçekleşen ayrı bir kampanyada tipik Kanada eczane spam'ını gönderecekti.
Rusya-Ukrayna Hibrit Savaşı
Tehdit kampanyaları Rusya'ya yakın tehdit aktörleri tarafından kullanılıyor: Kum Solucanı ve Gamaredon in bir siber savaş Ukrayna ile bu eşzamanlı çalıştırmak ESET'e göre iki yıllık kara operasyonuyla. Özellikle kum kurdu kullanılmış silecekler için Ukrayna BT altyapısını bozuyor Savaşın başlarında Gamaredon son zamanlarda siber casusluk operasyonlarını hızlandırdı.
Araştırmacılar gönderide "Texonto Operasyonu, teknolojilerin savaşı etkilemeye yönelik başka bir kullanımını gösteriyor" diye yazdı, ancak operasyonu belirli bir aktöre atfetmediler. "Birkaç tipik sahte Microsoft giriş sayfası bulduk, ancak en önemlisi, muhtemelen Ukrayna vatandaşlarını etkilemeye ve onları Rusya'nın kazanacağına inandırmaya çalışan e-postalar yoluyla iki casusluk dalgası vardı."
Araştırmayı yöneten ESET araştırmacısı Matthieu Faou, Dark Reading'e gönderdiği bir e-postada, Texonto Operasyonunun tipik kötü amaçlı faaliyetlerden diğer önemli sapmaları da gösterdiğini belirtiyor.
"Texonto Operasyonu vakasında ilginç olan şey, aynı tehdit aktörünün hem dezenformasyona hem de hedef odaklı kimlik avı kampanyalarına bulaşması, tehdit aktörlerinin çoğunun ise bunlardan birini ya da diğerini yapmasıdır" diye gözlemliyor. "Bu nedenle, bunun sadece internette yanlış bilgi yayınlayan biri değil, planlı bir casusluk operasyonu olduğu açık."
Araştırmacılar, kampanyanın aynı zamanda kötü niyetli mesajları iletmek için Telegram veya sahte web siteleri gibi yaygın kanalları kullanmaktan da uzaklaşıldığını gösterdiğini belirtti.
İki Farklı Dalga
Operasyonun ilk işareti Ekim ayında, Ukrayna'nın büyük bir savunma şirketinde çalışan çalışanların bir sertifika almasıyla geldi. phishing e-postası BT departmanından olduğu iddia ediliyor. Mesaj, posta kutularının kaldırılabileceği ve oturum açmak için posta kutusunun Web sürümüne giden bir bağlantıya tıklamaları ve kimlik bilgilerini kullanarak oturum açmaları gerektiği konusunda uyardı.
Bağlantı bunun yerine bir kimlik avı sayfasına yönlendiriyor; ESET araştırmacıları, VirusTotal'a gönderilen işleme ait başka bir etki alanından bunun Microsoft 365 kimlik bilgilerini çalmaya yönelik sahte bir Microsoft oturum açma sayfası olduğunu tahmin ettiler, ancak kimlik avı sayfasını geri alamadılar.
Kampanyanın bir sonraki dalgası ilk pysops operasyonuydu. yanlış bilgi verme Ukrayna hükümeti ve enerji şirketleri için çalışan en az birkaç yüz kişiye ve ayrıca bireysel vatandaşlara PDF eki içeren e-postalar.
Ancak daha önce açıklanan kimlik avı kampanyasının aksine, bu e-postaların amacının, kötü niyetli bağlantılar yaymak yerine, Ukraynalıların zihnine şüphe sokmak için tamamen dezenformasyon olduğu ortaya çıktı.
Kampanyadaki e-postalar, alıcıları potansiyel yiyecek, ısınma ve ilaç kıtlığı konusunda bilgilendiriyordu; bunlardan biri, "güvercinli risotto" yemelerini önerecek kadar ileri gitti ve hatta "bu belgelerin bilerek oluşturulduğunu gösteren" canlı bir güvercin ve pişmiş bir güvercinin fotoğraflarını sundu. okuyucuları kızdırmak için," diye belirtti araştırmacılar.
"Genel olarak mesajlar yaygın Rus propaganda temalarıyla örtüşüyor" diye yazdılar. "Ukrayna halkını Rusya-Ukrayna savaşı nedeniyle uyuşturucu, yiyecek ve ısınmaya sahip olamayacaklarına inandırmaya çalışıyorlar."
İkinci aşama pysops dalgası Aralık ayında meydana geldi ve Ukrayna hükümetinden İtalyan ayakkabı üreticisine kadar değişen birkaç yüz hedeften oluşan rastgele bir diziyle diğer Avrupa ülkelerine yayıldı, ancak yine de Ukraynaca yazıldı. Araştırmacılar, kampanyada Ukraynalıları aşağılamak ve cesaretlerini kırmak amacıyla alaycı tatil tebrikleri gönderen iki farklı e-posta şablonu keşfettiler.
Kötü Amaçlı Alan Adları ve Savunma Taktikleri
Araştırmacılar çoğunlukla Texonto Operasyonu'na dahil olan siber suçlulara ayak uydurmak için alan adlarını takip etti ve bu da onları bazı ilginç yollara yönlendirdi. Bunlardan biri, saldırganlar tarafından işletilen bir e-posta sunucusunu kullanan, görünüşte ilgisiz ama tipik bir Kanada eczane spam kampanyasıydı; "Rus siber suç topluluğu içinde çok popüler olan bir yasa dışı iş kategorisi" dediler.
Kampanyayla ilişkili diğer alan adları, 16 Şubat'ta hapishanede ölen tanınmış Rus muhalefet lideri Alexei Navalny'nin ölümü gibi daha güncel güncel olayları yansıtıyordu. Navalny-votes[.]net, navalny-votesmart[.]net ve navalny-voting[.]net dahil olmak üzere bu alanların varlığı, "Texonto Operasyonunun muhtemelen Rus muhalifleri hedef alan hedef odaklı kimlik avı veya bilgi operasyonlarını içerdiği anlamına geliyor." araştırmacılar yazdı.
ESET, raporlarında alanlar, e-posta adresleri ve MITRE ATT&CK teknikleri dahil olmak üzere bir dizi güvenlik ihlali göstergesine (IOC) yer verdi. Araştırmacılar ayrıca kuruluşların güçlü iki faktörlü kimlik doğrulama Faou, Office 365'i hedef alan kimlik avı saldırılarına karşı savunma sağlamak için bir telefon kimlik doğrulama uygulaması veya fiziksel anahtar gibi bir şeyin kullanıldığını söylüyor.
Kötü niyetli aktörlerin çevrimiçi dezenformasyon yayma girişimlerine karşı savunma konusunda "en iyi koruma, eleştirel zihniyetimizi kullanmak ve İnternet'teki hiçbir bilgiye güvenmemektir" diye ekliyor.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.darkreading.com/remote-workforce/russian-cyberattackers-launch-multi-phase-psyops-campaign
- :vardır
- :dır-dir
- :olumsuzluk
- $UP
- 16
- 2023
- 22
- 7
- a
- Yapabilmek
- Göre
- karşısında
- etkinlik
- aktörler
- adresleri
- Ekler
- karşı
- ajans
- Hedeflenen
- Amaçları
- hizalamak
- Ayrıca
- an
- ve
- Başka
- herhangi
- uygulamayı yükleyeceğiz
- çıktı
- ARE
- Dizi
- AS
- ilişkili
- At
- saldırı
- saldırılar
- Denemeler
- uzakta
- BE
- Çünkü
- olmuştur
- Inanmak
- ait
- İYİ
- Bit
- Blog
- her ikisi de
- iş
- fakat
- by
- geldi
- Kampanya
- Kampanyalar
- Kanadalı
- dava
- Kategoriler
- kanallar
- Vatandaşlar
- açık
- tıklayın
- ortak
- topluluk
- Şirketler
- şirket
- uzlaşma
- pişmiş
- ülkeler
- çevrimiçi kurslar düzenliyorlar.
- Tanıtım
- kritik
- akım
- Siber
- Siber suç
- siber suçluların
- karanlık
- karanlık okuma
- Ölüm
- Aralık
- Savunma
- Savunma
- gösteriyor
- bölüm
- tarif edilen
- DID
- öldü
- farklı
- keşfetti
- yanlış bilgi verme
- aşağılama
- farklı
- dağıtım
- çeşitli
- do
- evraklar
- domain
- ALAN İSİMLERİ
- etki
- şüphe
- aşağı
- ilaç
- İlaçlar
- dublajlı
- Erken
- yemek
- çaba
- E-posta
- e-postalar
- istihdam
- çalışanların
- etkinleştirmek
- son
- enerji
- nişanlı
- casusluk
- EU
- AVRUPA
- Avrupa
- Avrupa ülkeleri
- Hatta
- olaylar
- varoluş
- genişletilmiş
- sahte
- uzak
- Şubat ayında
- az
- Ad
- odaklanmış
- Gıda
- İçin
- bulundu
- itibaren
- gol
- gidiş
- Hükümet
- Selamlar
- Zemin
- vardı
- Var
- he
- Tatil
- Ne kadar
- Ancak
- HTTPS
- yüz
- melez
- Yasadışı
- önemlisi
- in
- dahil
- içerir
- Dahil olmak üzere
- göstergeler
- bireysel
- etkilemek
- bilgi
- bilgi
- Altyapı
- yerine
- ilginç
- Internet
- soruşturma
- ilgili
- IT
- İtalyan
- ONUN
- kendisi
- Ocak
- sadece
- tutmak
- anahtar
- başlatmak
- öncülük etmek
- lider
- İlanlar
- en az
- Led
- LINK
- bağlantılı
- bağlantılar
- yaşayan
- log
- giriş
- Ana
- ağırlıklı olarak
- büyük
- yapmak
- kötü niyetli
- Üretici firma
- Mayıs..
- anlamına geliyor
- mesaj
- mesajları
- yöntem
- Microsoft
- akla
- Mindset
- yanlış bilgi
- ay
- Daha
- çoğu
- hareket
- şart
- isimleri
- ağ
- sonraki
- dikkate değer
- özellikle
- ünlü
- notlar
- Kasım
- gözlemler
- oluştu
- Ekim
- of
- Office
- on
- ONE
- Online
- ameliyat
- operasyon
- Operasyon
- muhalefet
- or
- sipariş
- organizasyonlar
- Diğer
- bizim
- tekrar
- tüm
- Kanal
- sayfaları
- yolları
- İnsanlar
- faz
- Kimlik avı
- kimlik avı kampanyası
- telefon
- Fotoğraflar
- fiziksel
- planlanmış
- Platon
- Plato Veri Zekası
- PlatoVeri
- arsa
- Popüler
- Çivi
- potansiyel
- Önceden
- hapis
- muhtemelen
- propaganda
- koruma
- sağlama
- yalnızca
- rasgele
- menzil
- değişen
- daha doğrusu
- okuyucular
- Okuma
- Alınan
- son
- geçenlerde
- alıcıların
- tavsiye etmek
- yansıtılan
- ilgili
- çıkarıldı
- rapor
- araştırmacı
- Araştırmacılar
- Açığa
- Rusya
- Rusya-Ukrayna Savaşı
- Rusça
- s
- Adı geçen
- aynı
- diyor
- İkinci
- görünüşte
- göndermek
- gönderdi
- ayrı
- sunucu
- birkaç
- sıkıntısı
- Gösteriler
- işaret
- benzer
- So
- şu ana kadar
- biraz
- Birisi
- ekmek
- Spam
- özel
- Sponsor
- yayılma
- Yayma
- Yine
- güçlü
- gönderilen
- böyle
- önermek
- taktik
- Hedef
- Hedeflenen
- hedefleme
- hedefler
- teknikleri
- Teknolojileri
- Telegram
- şablonları
- göre
- o
- The
- ve bazı Asya
- Onları
- temalar
- sonra
- Orada.
- Bunlar
- onlar
- Bu
- gerçi?
- tehdit
- tehdit aktörleri
- için
- Konular
- Güven
- denemek
- çalışıyor
- bükülme
- iki
- tipik
- Ukrayna
- Ukrayna
- Ukraynalılar
- URL
- kullanım
- Kullanılmış
- kullanıcılar
- kullanma
- versiyon
- çok
- üzerinden
- savaş
- uyardı
- oldu
- dalga
- dalgalar
- we
- ağ
- web siteleri
- İYİ
- tanınmış
- vardı
- gelmedin
- Ne
- Nedir
- ne zaman
- hangi
- süre
- DSÖ
- irade
- kazanmak
- ile
- içinde
- won
- çalışma
- yazılı
- yazdı
- henüz
- zefirnet