İsrail

‘Sakallı Barbielerin’ hedefinde İsrailli yetkililer var

'Sakallı Barbielerin' hedefinde İsrailli yetkililer var‘APT-C-23’ adı ile aranan Hamas destekli bir hacker grubu, savunma, kolluk kuvvetleri ve devlet kurumlarında çalışan İsrailli yetkilileri ağına düşürmeye çalışırken yakalandı.

Saldırı, casus yazılım yerleştirmeden önce hedeflerle uzun vadeli etkileşim kurma ve sahte sosyal medya profilleri oluşturma gibi üst düzey sosyal mühendislik hilelerini içeriyor.

Bu yeni operasyona Bearded Barbie Campaign (Sakallı Barbie Operasyonu) adını veren Cybereason’daki analistlere göre, APT-C-23 ayrıca Windows ve Android cihazlar için yeni özel arka kapılar da dağıtıyor.

Tehdit aktörleri, sahte kimlikler ve çekici kadınların çalınan veya yapay zeka tarafından oluşturulan görüntülerini kullanarak birkaç sahte Facebook profili oluşturdu ve bu profiller aracılığıyla hedeflere yaklaştı. Bu profillerin gerçekmiş gibi görünmelerini sağlamak için operatörler bu profiller üzerinde aylarca çalıştılar, İbranice paylaşımlar yaptılar ve İsrail’deki grupları ve popüler sayfaları beğendiler.

SAMİMİYET OLUŞTUKTAN SONRA SOHBETİ WHATSAPP’A TAŞIMAYI TEKLİF EDİYORLAR

Bu profilleri oluşturanlar, gerçekte İsrail polisinde, savunma kuvvetlerinde, acil servislerde veya hükümette çalışan insanları hedef alan kapsamlı bir arkadaşlık ağı kurmuş oluyor. Bir süre onlarla etkileşime girerek hedefin güvenini kazandıktan sonra, rakipler sohbeti daha iyi gizlilik sağladığı için WhatsApp’a taşımayı öneriyorlar. Sohbet daha da müstehcen bir boyuta taşındığında ise tehdit aktörleri sözde daha da fazla gizlilik sağladığı gerekçesiyle Android IM uygulamasına geçiş yapıyorlar. Bu da VolatileVenom kötü amaçlı yazılımdan başkası değil. 

Eş zamanlı olarak, bu sahte profil oluşturucuları, cinsel bir video içerdiği iddia edilen, ancak gerçekte BarbWire arka kapısı için bir indirici olan bir RAR dosyasına bir bağlantı gönderme yolunu seçtiler.

Filistinli hackerların hedefinde Türkiye de var

Başta VolatileVenom olmak üzere, sözkonusu Android kötü amaçlı yazılımı kendisini bir mesajlaşma uygulaması olarak gizliyor.

ARKA KAPI NİSAN 2020’DEN BERİ KULLANILIYOR 

Cybereason, bu arka kapının en azından Nisan 2020’den bu yana APT-C-23 tarafından kullanıldığını, ancak o zamandan beri ek özelliklerle zenginleştirildiğini açıklıyor.

Ürünün ilk kez çalıştırılması ve kaydolma işlemi sırasında, uygulama sahte bir hata görüntülüyor ve kendisini cihazdan otomatik olarak kaldıracağını bildiriyor. Gerçekte ise, aşağıdaki işlevleri yerine getirerek arka planda çalışmaya devam ediyor:

  • SMS mesajlarını çalma 
  • Kişi listesi bilgilerini okuma
  • Fotoğraf çekmek için cihazın kamerasını kullanma
  • pdf, doc, dokümanlar, ppt, pptx, xls, xlsx, txt, text uzantılı dosyaları çalma
  • jpg, jpeg, png uzantılı görüntüleri çalma
  • Ses kaydı alma
  • Facebook ve Twitter gibi popüler uygulamalar için gerekli kimlik bilgilerini çalmak için Kimlik Avı özelliğini kullanma
  • Sistem bildirimlerini devre dışı bırakma
  • Yüklü uygulamaları alma
  • Wi-Fi’yi Yeniden Başlatma
  • Aramaları / WhatsApp aramalarını kaydetme 
  • Arama günlüklerini ayıklama
  • Virüslü cihaza dosya indirme 
  • Ekran görüntüsü alma
  • WhatsApp, WhatsApp, Facebook, Telegram, Instagram, Skype, IMO, Viber uygulamalarındaki bildirimleri okuma
  • Sistem tarafından oluşturulan bildirimleri devre dışı bırakma

Kurbanın cihazı Android 10 veya daha üstündeki sürümleri çalıştırıyorsa, uygulama Google Play, Chrome veya Google Haritalara ait bir simge kullanıyor. Android’in önceki sürümlerinde ise, uygulama simgesini tamamen gizliyor.

BARB(IE) VE BARBWIRE KÖTÜ AMAÇLI YAZILIMLARI

Catfish girişimlerinin bir parçası olarak, tehdit aktörleri sonunda hedefe çıplak fotoğraflar veya videolar olduğu iddia edilen bir RAR dosyası göndermekte. Ancak, bu RAR dosyası, BarbWire arka kapısının yüklenmesine neden olan Barb (ie) downloader kötü amaçlı yazılımını içeriyor.

Cybereason tarafından görülen bir Barb (ie) örneği “Windows Bildirimleri” dosya adına sahip ve başlatıldığında bir takım anti analiz denetimleri gerçekleştirmekte.

Ardından, Barb(ie) komut ve denetim sunucularına (C2) bağlanıyor ve bir sistem kimliği profili gönderirken, iki zamanlanmış görev oluşturarak süreklilik tesis ediyor. Son olarak, cihaza BarbWire arka kapısını indiriyor ve yüklüyor.

BarbWire, aşağıdakiler gibi kapsamlı yeteneklere sahip tam teşekküllü bir arka kapı olarak değerlendiriliyor:

  • Süreklilik
  • İşletim sistemi keşfi (kullanıcı adı, mimari, Windows sürümü, yüklü AV ürünleri)
  • Veri şifreleme
  • Keylogging (başka bir bilgisayarda basılan tuşları gizlice kaydetme işlemi)
  • Ekran görüntüsü yakalama
  • Ses kaydı
  • Ek kötü amaçlı yazılım indirme
  • Yerel / harici sürücüler ve dizin numaralandırma
  • Belirli dosya türlerini çalma ve verileri RAR formunda filtreleme

Cybereason, APT-C-23 grubunun aktif gelişimini gösterdiği en az üç farklı BarbWire varyantını örnekleyebildi.

APT-C-23, geçmişte İsrail hedeflerine yönelik birçok operasyonda kullanıldığını gördüğümüz birçok tekniği kullanıyor ancak yeni araçlar ve daha karmaşık sosyal mühendislik çabalarıyla gelişmeye devam ediyor.

Bearded Barbie Operasyonu ile önceki kampanyalar arasındaki farklılıklardan biri, grubun tespit edilmekten kaçınma konusundaki ilgisini ortaya koyan bir altyapının olmaması.

Biri Windows için diğeri Android için olmak üzere iki arka kapının kullanılması, tehdit aktörü için gerilimi daha da artıırmakta ve tehlikeye atılan hedefler için çok agresif casuslukla sonuçlanmakta.

Hiçbir haberi kaçırmayın!

E-Bültenimiz ile gelişmelerden haberdar olun!

İstenmeyen posta göndermiyoruz! Daha fazla bilgi için gizlilik politikamızı okuyun.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.

Başa dön tuşu