Bir siber istihbarat şirketinin 13.Aralık 2023 raporuna göre siber güvenlik araştırmacıları Rusya destekli APT28 (advanced persistent threat) olarak bilinen (BlueDelta, Fancy Bear, Forest Blizzard FROZENLAKE, Iron Twilight, Sednit, Sofacy ve TA422 olarakta anılmaktadır.) siber tehdit aktörünün yürüttüğü oltalama (spear phishing) siber saldırı dalgasını incelemektedir.
Saldırının sahte e-postalarla WinRAR (CVE-2023-38831) açığını istismar ettiği ve çalıştırılabilir pdf, Word, exe dosyalarını kullandığı belirtiliyor şu bilgiler aktarılıyor:
“Tehdit aktörü, çok sayıda ülkeyi hedef alan bu siber saldırı dalgasında, İsrail-Hamas savaşı ile ilgili sahte belgeleri kullanarak, insani yardım tahsisinde doğrudan etkisi olan Avrupa kurumlarını hedeflemektedir. – Söz konusu siber saldırı dalgası Birleşmiş Milletler, İsrail Bankası, Amerika Birleşik Devletleri Kongre Araştırma Servisi, Avrupa Parlamentosu, Ukraynalı bir düşünce kuruluşu ve Azerbaycan-Belarus Hükümetlerarası Komisyonu ile ilişkili belgeler aracılığıyla kurbanlarını yanıltmayı hedeflemektedir.”
Raporda söz konusu siber saldırı dalgası, İsrail-Hamas savaşı ile ilgili kandırma taktikleri kullanarak özel bir arka kapı (backdoor) olan “HeadLace”yi sistemlere yerleştirmek amacıyla gerçekleştirildiği belirtiliyor. IBM X-Force araştırmacıları bahsi geçen siber saldırı dalgasında tehdit aktörünün hedeflerini, saldırı yöntemlerini ve etkilenen ülkeleri analiz ederek tehdidin önemini vurgulamaktadır.
Paylaşılan enfeksiyon zinciri grafiğinde (bkz. Şekil 1) de popüler WinRAR gibi uygulamalardan faydalanıldığı belirtiliyor. X-Force güvenlik analistleri özellikle aşağıdaki ülkeleri hedefleyen çok sayıda tarayıcı numaralandırma komut dosyası gözlemlediğini belirtiyor ve incelenen bir kod bölümünde zararlı yazılımın sadece Türkiye ‘den indirilmeye izin verdiği; zararlı yazılımın CSS formatında enjekte edildiği gösteriliyor(Şekil 2):
- Macaristan
- Türkiye
- Avustralya
- Polonya
- Belçika
- Ukrayna
- Almanya
- Azerbaycan
- Suudi Arabistan
- Kazakistan
- İtalya
- Letonya
- Romanya