Home UZAYTEKNO LinkedIn İMZALI SAHTE İŞ TEKLİFLERİNE DİKKAT
UZAYTEKNO - 22 Haziran 2020

LinkedIn İMZALI SAHTE İŞ TEKLİFLERİNE DİKKAT

Siber güvenlik kuruluşu ESET; 16 Haziran tarihinde düzenlediği global online basın toplantısında, çarpıcı yöntemler içerdiği için öne çıkan bir siber saldırıya dikkat çekti. ESET’ in “Operation Interception” adını verdiği siber saldırıda adeta yok yok: Linkedln tabanlı kimlik bilgisi avı, yakalanmamak için etkili hileler, hedefli casusluk ve mali kazanç elde etmek için hedefli saldırı Linkedn mesajıyla başlıyor. Online basın toplantısında saldırılarla ilgili ayrıntıları, ESET Kanada Tehdit Araştırmaları Şefi Jean-Ian Boutin paylaştı. “Olay bir Linkedin mesajıyla başlıyor.“ diyen Boutin, şöyle devam etti: “Mesaj, ilgili sektörde tanınmış bir şirketten gönderiliyor gibi gösterilen çok inandırıcı bir iş teklifi. Tabii ki Linkedln profili sahte ve mesajda gönderilen dosyalar kötü amaçlı.”

Kötü amaçlı yazılım içeren dosya paylaşılıyor.

Alıcı, sahte iş teklifiyle ilgili maaş bilgilerini içeren masum bir PDF belgesi gibi görünen dosyayı açtığında kötü amaçlı yazılım; sessizce kurbanın bilgisayarına yerleşiyor. Bu şekilde saldırganlar bir ilk tutunma zeminini oluşturuyor ve sistem üzerinde kalıcılık sağlıyor.

Etkili saklanma yöntemleri ile koruma yazılımlarından kaçıyor.

Dosyalar doğruca Linkedln mesajları üzerinden veya bir OneDrive linki içeren e-posta yoluyla gönderiliyor. E-posta yoluyla yapılan gönderilerde saldırganlar, sahte Linkedin şahıslarıyla eşleşen e-posta hesapları oluşturuyor. Bunun yanı sıra teknik olarak zekice kurgulanmış saklanma hileleriyle koruma yazılımlarının algılama mekanizmalarından kaçınmaya çalışılıyor.

HEDEF KİM?

Veriler; çeşitli Avrupa uzay, havacılık ve askeri şirket ve çalışanlarının hedef alındığını gösteriyor. Saldırganların kullandığı araçlar arasında çoğu zaman meşru yazılım gibi gizlenmiş olan özel çok aşamalı kötü amaçlı programlar ve açık kaynaklı araçların değiştirilmiş sürümleri yer alıyor. Saldırganlar ayrıca kötü amaçlı operasyonları gerçekleştirmek için önceden yüklenmiş Windows araçlarını da istismar etmiş görünüyor.

SALDIRGANLAR KİM?

Jean-Ian Boutin ve soruşturmaya liderlik eden ESET Araştırmacısı Dominik Breitenbacher’e göre pek çok ipucu, kötü nam salmış Lazarus grubu ile muhtemel bağlantılara işaret ediyor. Ancak Breitenbacher: “Ne kötü amaçlı yazılım analizi ne de incelemeler saldırganların hangi dosyaları hedeflediği hakkında bilgi elde etmemize imkân vermedi.” diyor.

ÇALINAN BİLGİLER PARAYA DÖNÜŞTÜRÜLÜYOR

ESET araştırmacıları, veri hırsızlığının yanı sıra saldırganların, istismar edilen hesapları başka şirketlerden para çekme amacıyla kullandıklarının da kanıtını buldu. Yani siber saldırganlar, elde ettikleri bilgileri paraya da dönüştürme çabası içine giriştiler.

ESET araştırmacıları; “Kurbanın ağına erişmeye yönelik bu paraya çevirme teşebbüsü, hem içeriye sızmalara karşı güçlü bir savunmanın oluşturulması hem de çalışanlara siber güvenlik eğitiminin verilmesi için yine başka bir sebep oluşturuyor. Böyle bir eğitim, çalışanların bu saldırı teşebbüsünde kullanılanlar gibi daha az bilinen sosyal mühendislik tekniklerini anlamalarına yardımcı olabilir.” diyerek sözlerini tamamladı.