Siber suçlular arasında devlet firmalarını hedef alan meşru uzaktan izleme ve yönetim (RMM) araçlarının kullanımı o kadar yaygınlaştı ki, ABD Federal kolluk kuvvetleri ve istihbarat teşkilatları ortak bir uyarı yayınlamak zorunda kaldı.
NSA, CISA ve MS-ISAC uyarılarında kötü amaçlı yazılım keşfettiklerini söylediler. (yeni sekmede açılır) “birden fazla federal sivil yürütme şubesi (FCEB) ajansına” ait ağlar içindeki faaliyet.
Siber güvenlik araştırmacıları Silent Push, Ekim 2022’de raporlarını yayınladıktan sonra kuruluşlardan analizi yapmaları istendi. Bunu yapmak için, CISA tarafından işletilen ve izlenen federal bir sivil yürütme organı (FCEB) çapında izinsiz giriş tespit sistemi (IDS) olan EINSTEIN’i devreye aldılar. Ağların durumunu analiz etmek için.
Sahte yardım masası e-postaları
Buldukları şey, Silent Push’un daha önce bahsettiği “yaygın, finansal amaçlı bir kimlik avı kampanyası” ile bağlantılıydı.
Dolandırıcılar, çeşitli devlet kurumlarında çalışan kişilere ait e-posta adreslerine sahte yardım masası kimlik avı e-postaları göndererek işe başlar.
Uyarıda, “Yazım yapan kuruluşlar, en azından Haziran 2022’den bu yana, siber suç aktörlerinin FCEB federal personelinin kişisel ve hükümet e-posta adreslerine yardım masası temalı kimlik avı e-postaları gönderdiğini değerlendiriyor” diyor. “E-postalar ya ‘birinci aşama’ kötü amaçlı etki alanına bir bağlantı içeriyor ya da alıcılardan siber suçluları aramalarını istiyor, onlar da alıcıları birinci aşama kötü amaçlı etki alanını ziyaret etmeye ikna etmeye çalışıyor.”
Kampanyanın amacı, yazılım için yanlışlıkla ödenen parayı iade etmek amacıyla kurbanların RMM’yi indirmesini sağlamaktır (kurbanlar hiçbir zaman gerçekten hiçbir şey için ödeme yapmadılar, ancak bu dolandırıcılık planının bir parçasıdır). Dolandırıcılar, yazılımı indirip çalıştırdıktan sonra, banka hesaplarına giriş yapmalarını sağlamaya çalışacak. Bu olursa, parayı çalmanın bir yolunu bulurlar.
Kuruluşlar ayrıca, “Bu özel faaliyet finansal olarak motive edilmiş gibi görünse ve bireyleri hedef alsa da, erişim alıcının kuruluşuna karşı hem diğer siber suçlular hem de APT aktörleri tarafından ek kötü niyetli faaliyetlere yol açabilir.”
“Kötü niyetli siber aktörler, Ulusal Güvenlik Sistemlerini (NSS), Savunma Bakanlığı’nı (DoD) ve Savunma Sanayi Üssü (DIB) ağlarını hedeflemek ve hem iş hem de ev cihazları ve hesaplarında meşru RMM yazılımını kullanmak için aynı teknikleri kullanabilir.”
Üzerinden: BleepingBilgisayar (yeni sekmede açılır)
