Kendisini Türk hükümetinin vergi tahsilat memuru gibi gösteren bir kişi hedefinde bulunan savunma sanayi şirketlerine spear-phishing saldırısı düzenledi. Oltaya düşürme manasına gelen spear-phishing, hedefteki kişilere onları kandırmak, hile ile tuzağa düşürmek ve saldırmak için tasarlanmış e-postalar gönderilmesine dayanan bir tür sosyal mühendislik.
Spear-phishing kapsamında gönderilen e-postaya Türk hükümetine bağlı vergi biriminden gönderiliyormuş süsü verilmiş. E-postada ekte gönderilen belgenin doldurulması halinde olası bir vergi muafiyetinden söz ediliyor. Göndericinin domain’i gerlirler.gov.tr şeklinde geçerli bir alan adı olsa da gerçek SPF doğrulaması, hata veriyor. SPF doğrulaması, bir DNS kayıt tipi ile göndericinin bu alan adı için mail atmaya yetkisi olup olmadığını kontrol eden bir doğrulama mekanizması.
İlgili haber>> ‘Bad Rabbit’ Türkiye’yi de vurdu
RiskIQ’ya göre bu işi gerçekleştirenler, 2017 Kasımından beri belirli bir kuruluştaki birden çok kişiyi Remcos adı verilen ve hedefteki bilgisayara uzaktan erişim trojanı indiren bir dokümanla hedeflerine almış durumda. Remcos, Keylogger (bulaştığı bilgisayarda basılan tuşları kaydeden zararlı bir yazılım) görevi görebiliyor, ekran resmi kaydedebiliyor webcam ya da mikrofondan ses ya da görüntü kaydı yapabiliyor, program yükleyip kaldırabiliyor ve dosyaları yönetebiliyor. Bir diğer ilginç bir nokta ise Remcos’un SOCKS5 proxy kabiliyetine de sahip olması.
RiskIQ Araştırmacısı Yonathan Klijnsm jeopolitik bakımdan çalkantıda olan Türkiye gibi ülkelerin siber ajanlık kampanyalarında başlıca hedefler olabildiğini söylüyor ve ekliyor: “Şunu da belirtmek isteriz ki bu kampanya tek bu olay üzerinden kurgulanmış değil. Bu kampanyadan çok daha önce aynı domain başka siber saldırılarda da kullanılmış.”
Siber Bülten abone listesine kaydolmak için doldurunuz