Noel’de Dünyayı Sallandıran Phishing Saldırısı

Charming Kitten veya Phoshporus olarak da bilinen APT35’in geçtiğimiz Noel günlerinde devasa bir spear-phishing saldırısı gerçekleştirdiği tespit edildi. Sadece e-posta oltalamalarıyla kalmayan grup SMS ile de saldırılarda bulundu.

 

CERTFA’nın APT35’in Gerçekleştirdiği Spear-Phishing Saldırısına İlişkin Açıklamaları

İran destekli APT grupları hakkında uzmanlaşan siber güvenlik kuruluşu CERTFA, saldırının ardından bir dizi açıklamalarda bulundu. APT35’in spear-phishing saldırısını maksimum kurbanı avlamak için olabilecek en iyi zamanda gerçekleştirdiğini söyleyen CERTFA, APT35’in özellikle bu tarihleri seçtiğini belirtti. Tüm BT ofislerinin kapalı olduğu ve BT çalışanlarının tatile çıktığı bu dönemde böyle büyük çaplı bir operasyon düzenleyen Charming Kitten, pandemi dolayısıyla artan e-ticaret faaliyetlerini de değerlendirdi.

CERTFA, saldırıda özellikle düşünce kuruluşu üyelerinin, siyasi araştırma merkezlerinin, üniversite profesörlerinin, gazeticilerin ve çevre aktivistlerinin yoğunluklu olarak hedef alındığını belirtti.

Saldırıda özellikle Basra Körfezi bölgesinin, Avrupa’nın ve Amerika Birleşik Devletleri’nin hedef alındığı tespit edildi.

 

Google URL’i İçeren Spear-Phishing Saldırısı Nasıl Gerçekleşti?

APT35 tarafından gerçekleştirilen spear-phishing saldırsında gönderilen SMS’ler Google URL’leri içerirken, e-posta içeriklerinde ise daha önce ele geçirilmiş olan hesaplar kullanılarak tatille ilgili çeşitli kampanyalar ve teklifler sunuldu.

Phoshporus grubu bu saldırda zararlı bağlantılarını “https://www.google[.]com/url?q=https://script.google.com/xxxx” şeklinde Google url’i gibi göstererek hedeflerini kandırmayı başardı.

apt phishing

Görsel: CERTFA

 

crtfa

Görsel: CERTFA

 

CERTFAtarafından gerçekleştirilen analizde; saldırganların başarılı şekilde kandırdıkları kurbanlarını Google bağlantısından kendi bağlantılarına geçirdikleri tespit edildi.

oltalama saldırısı

Görsel: CERTFA

 

oltalama

Görsel: CERTFA

 

APT35 analiz

Görsel: CERTFA

Görsellerden de anlaşılacağı üzere; kurban ilgili bağlantıya tıkladığında kendisini güvenilir bir kaynak olan Google’ın bu bağlantıya yönlendirdiğini düşünecek ve bilgilerini kötü niyetli kişilerin eline teslim edecekti. Gerçekleştirdiği spear-phishing saldırısıyla çok fazla kurbanı ağına düşüren APT35 bu ve buna benzer teknikleri daha önce de kullanmıştı.