09 Şubat 2023Ravie LakshmananSiber Saldırı / Siber Tehdit
Daha önce bilinmeyen bir tehdit aktörü lakaplı HaberPenguen yaklaşmakta olan uluslararası denizcilik fuarını bir yem olarak kullanarak Pakistan varlıklarını hedef alan bir kimlik avı kampanyasıyla bağlantılıdır.
BlackBerry Araştırma ve İstihbarat Ekibi, “Saldırgan, PIMEC-23 için bir sergileyici kılavuzu olduğu iddia edilen, silah haline getirilmiş bir belge eklenmiş olarak, hedefli kimlik avı e-postaları gönderdi.” söz konusu.
PİMECPakistan Uluslararası Denizcilik Fuarı ve Konferansı’nın kısaltması, bir girişim Pakistan Donanması’na ait ve Denizcilik Bakanlığı tarafından “denizcilik sektöründe gelişmeye hızlı bir başlangıç” amacıyla organize ediliyor. 10-12 Şubat 2023 tarihleri arasında yapılması planlanıyor.
Kanadalı siber güvenlik şirketi, saldırıların mesaj alıcılarını görünüşte zararsız Microsoft Word belgesini açmaları için kandırarak denizle ilgili varlıkları ve etkinliğin ziyaretçilerini hedef almak için tasarlandığını söyledi.
Belge başlatıldıktan sonra, adı verilen bir yöntem uzak şablon enjeksiyonu yalnızca istek Pakistan’da bulunan bir IP adresinden gönderilirse yapıyı döndürmek üzere yapılandırılmış, aktör tarafından kontrol edilen bir sunucudan sonraki aşama yükünü almak için kullanılır.
BlackBerry, sunucunun herhangi bir parola koruması olmayan iki ZIP arşiv dosyası barındırdığını bulduğunu söyledi; bunlardan biri, korumalı alanları ve sanal makineleri atlayabilen gizli bir casusluk aracı olarak işlev gören bir Windows yürütülebilir dosyası (updates.exe) içerir.
Dahası, ikili dosyanın içeriği şu kodla şifrelenir: XOR şifrelemesi XOR anahtarının “penguen” olduğu algoritma. Arka kapıyı içeren HTTP yanıtı ayrıca name parametresiyle birlikte gelir. Content-Disposition yanıt başlığı “en son haberleri al” olarak ayarlayın.
NewsPenguin adı, yaygın olmayan XOR anahtarına ve ad parametresine bir göndermedir; BlackBerry, kötü amaçlı yazılımı şu anda bilinen herhangi bir tehdit aktörüne veya grubuna bağlayan hiçbir taktik çakışma bulamamaktadır.
Yükleri barındıran alanın analizi, 30 Haziran 2022’den beri kayıtlı olduğunu gösteriyor ve bu da kampanya için bir düzeyde önceden planlama yapıldığını ve aynı anda araç setini yinelemek için adımlar atıldığını gösteriyor.
BlackBerry, “Hedef Pakistan Donanması tarafından yürütülen bir olay olduğundan, tehdit aktörünün bunun mali amaçlı bir saldırı olmasından ziyade aktif olarak devlet kurumlarını hedef aldığını ima ediyor.” dedi.
siber-2