ModifiedElephant, Hintli Aktivistlerin ve Avukatların Cihazlarına Sahte Dijital Kanıt Yerleştirdi
Daha önce bilinmeyen bir bilgisayar korsanlığı grubu, "suçlayıcı dijital kanıtlar" yerleştirmek amacıyla Hindistan genelinde insan hakları aktivistlerine, insan hakları savunucularına, akademisyenlere ve avukatlara yönelik hedefli saldırılarla bağlantılıydı.
Siber güvenlik firması SentinelOne, izinsiz girişleri, faaliyetleri Hindistan devlet çıkarlarıyla keskin bir şekilde örtüşen, en az 2012'den beri faaliyet gösteren, anlaşılması zor bir tehdit aktörü olan "ModifiedElephant" olarak takip ettiği bir gruba bağladı.
Araştırmacılar, "ModifiedElephant, ticari olarak satılan uzaktan erişim truva atlarının (RAT'ler) kullanımı yoluyla çalışır ve ticari gözetim endüstrisiyle potansiyel bağları vardır" dedi. "Tehdit aktörü, NetWire, DarkComet ve basit tuş kaydediciler gibi kötü amaçlı yazılımlar sunmak için kötü amaçlı belgelerle hedefli kimlik avı kullanıyor."
ModifiedElephant'ın birincil amacı, hedeflenen bireylerin uzun vadeli gözetimini kolaylaştırmak ve sonuçta, savunmasız muhalifleri çerçevelemek ve hapsetmek amacıyla kurbanların güvenliği ihlal edilmiş sistemleri hakkında "kanıt" sağlanmasına yol açmaktır.
SentinelOne araştırmacıları Tom Hegel ve Juan Andres Guerrero-Saade bir raporda, dikkate değer hedeflerin Hindistan'ın Maharashtra eyaletinde 2018 Bhima Koregaon şiddetiyle ilişkili kişileri içerdiğini söyledi.
Saldırı zincirleri, aktivizm, iklim değişikliği ve siyasetle ilgili konular etrafında temalı ve kötü niyetli Microsoft Office belge ekleri veya harici olarak barındırılan dosyalara bağlantılar içeren hedef odaklı kimlik avı e-postalarını kullanarak - bazıları tek bir günde birden çok kez - hedeflere bulaşmayı içerir. Kurban makinelerin kontrolünü ele geçirebilen kötü amaçlı yazılımlarla silahlandırılmıştır.
Araştırmacılar, "Kimlik avı e-postaları, meşruiyet görünümü elde etmek için birçok yaklaşım gerektiriyor" dedi. "Bu, uzun alıcı listeleri içeren bir yönlendirme geçmişine sahip sahte gövde içeriğini, birçok sahte hesap içeren orijinal e-posta alıcı listelerini veya yeni e-postalar veya çekici belgeler kullanarak kötü amaçlı yazılımlarını birden çok kez yeniden göndermeyi içerir."
Kimlik avı e-postaları kullanılarak dağıtılan, saldırganların SMS'i ele geçirmesine ve yönetmesine ve verileri aramasına, cihazı silmesine veya kilidini açmasına, ağ isteklerini gerçekleştirmesine ve virüslü cihazları uzaktan yönetmesine olanak tanıyan, Android'i hedefleyen tanımlanamayan bir meta truva atıdır. SentinelOne, onu "ideal düşük maliyetli mobil gözetim araç takımı" olarak nitelendirdi.
Araştırmacılar, "Bu aktör, sınırlı operasyon kapsamları, araçlarının sıradan doğası ve bölgesel olarak spesifik hedeflemeleri nedeniyle araştırmaların dikkatinden ve tespitinden kaçınarak yıllardır faaliyet gösteriyor" dedi.
Kaynak: https://thehackernews.com/2022/02/hackers-planted-fake-digital-evidence.html
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.