Araştırmacılar, bir dizi mali amaçlı saldırıyı ve bir grup gelişmiş kalıcı tehdit (APT) benzeri casusluk faaliyetini tek bir siber suç varlığına bağladılar – ancak daha önce saldırı setlerinin iki farklı aktörün işi olduğuna inanılıyordu.
Araştırmacıların “İltica Ambuscade” olarak adlandırdığı bir siber suç grubu, iki motivasyon arasındaki çizgide ilerliyor. ESET analizi Bu hafta. Grup en az 2020’den beri aktif ama şu ana kadar halka açıklanmadı. Kanıt noktası ayrıntılı Mart 2022’de APT tarafından tahmin edilen ve Rus işgali öncesinde Ukraynalı mültecilere yardım etmekle görevli Avrupa hükümet personelini hedef alan bir çaba. Bu kampanyada siber saldırganlar, resmi devlet web posta portallarından gizli bilgileri ve web posta kimlik bilgilerini çalmak için hedef odaklı kimlik avı kullandı.
Bu arada, ESET araştırmacılarının takip ettiği, banka müşterilerini ve kripto para tacirlerini hedef alan ve Ocak 2022’den beri aktif olan bir dizi mali amaçlı siber suç saldırıları var. Kuzey Amerika (aynı zamanda Asya, Afrika, Avrupa ve Güney Amerika’da).
İki Motivasyon, Bir Siber Suç Aktörü
ESET araştırmacıları, suçlu yazılım ele geçirme zincirinin, SunSeed ve AHKBOT adlı özel kötü amaçlı yazılım varyantlarının kullanımına kadar, daha önce ayrıntıları verilen siber casusluk kampanyalarına çok benzer olduğunu ortaya çıkardı. Temel fark, “püskürt ve dua et” tarzı kötü amaçlı Google Ads ve yeniden yönlendirme zincirlerini içeren finansal saldırılarda uzlaşma vektörüdür.
ESET’in analizine göre, “Uzlaşma zincirleri tüm kampanyalarda neredeyse aynıdır”. “Özellikle SunSeed ve AHKBOT, hem siber suçlar hem de siber casusluk için yaygın olarak kullanılıyor; [and] SunSeed ve AHKBOT’un olduğuna inanmıyoruz [commodities used by multiple actors and] yeraltı pazarında satılıyor.”
Böylece araştırmacılar, “İltica Ambuscade’in bir yandan siber casusluk yapan bir siber suç grubu olduğunu belirlediler. [and] zaman zaman Orta Asya ve Avrupa’daki hükümetlere karşı kollara ayrılıyor gibi görünüyor.”
Grubun bir kiralık hack grubu mu, devlet destekli bir aktör mü, yoksa sadece kendi kendine hareket eden fırsatçılar mı olduğu belli değil. Her halükarda ESET araştırmacıları, “Özel siber casusluk operasyonları yürüten bir siber suç grubunu yakalamak oldukça alışılmadık bir durum ve bu nedenle araştırmacıların İltica Ambuscade faaliyetlerini yakından takip etmeleri gerektiğine inanıyoruz.”
Alışılmadık olabilir, ancak siber suç dünyasının iki yarısının ilk kez karışmadığına dikkat edilmelidir. Kuzey Koreli APT Lazarus Group, Pyongyang’daki rejimi finanse etmeye yardımcı olmak için kötü şöhretli bir şekilde kripto hırsızlığı ve diğer finansal soygunları gerçekleştirirken, aynı zamanda öldürücü bir siber casusluk aktörü olarak hareket ediyor.