Bir on yıl boyunca, Modifiedelephant olarak izlenen gelişmiş bir Kalıcı Tehdit (APT) Aktör, Siber Güvenlik Şirketleri olmadan, saldırılar arasındaki noktaları birbirine bağlayan siber güvenlik şirketleri olmadan en üst düzeyde faaliyet göstermesine izin veren taktikler kullanıyor.
Bu özel hacker grubu, mızraktan phishing aracılığıyla kolayca mevcut Truva atları istihdam etmektedir ve 2012'den beri Hindistan'daki insan hakları aktivistleri, ücretsiz konuşma savunucuları, akademisyenleri ve avukatları hedeflemektedir.
Kötü niyetli e-postalar, Keylogger'ları ve Uzaktan Erişim Truvalarını Netwire ve DarkComet ve hatta Android kötü amaçlı yazılım gibi iter.
Bir Raporda Sentinellabs'teki Araştırmacılar Günümüzde, yakın zamanda yayınlanan kanıtların daha önce "Yetim" saldırılarını nasıl nitelendirdiğini açıklayan modifiedelephant taktiklerini ayrıntılandırıyor.
En güvenilir kanıt, 2013-2019 yılları arasında birden fazla kampanyada gözlemlenen altyapı altyapısının yanı sıra, görevlendirilen kötü amaçlı yazılımların tutarlılığının üstesinden gelinmesidir.
Modifiedelephant, on yıldan fazla bir süredir kötü amaçlı eklere sahip mızraksız-phishing e-postalarına güvendi, ancak teknikleri o zaman boyunca gelişti.
Aşağıda, bazı evrim kilometre taşlarını vurgulayan geçmiş operasyonlarına genel bir bakış bulunmaktadır:
Birden fazla durumlarda, ekli belgeler, CVE-2012-0158, CVE-2013-3906, CVE-2014-1761 ve CVE-2015-1641 dahil olmak üzere kötü amaçlı yazılım yürütme için bilinen kullanımdan yararlanır.
Bu kampanyalarda kullanılan lures gelince, hepsi politik olarak ilgili ve genellikle hedef için çok uyarlanmıştır.
"Kimlik avı e-postaları, meşruiyetin ortaya çıkmasını sağlamak için birçok yaklaşım alır" diye açıklıyor rapordaki Sentinellabs
"Buna, alıcıların uzun listeleri içeren, orijinal e-posta alıcısı listeleri içeren, birçok görünüşte sahte hesaplara sahip orijinal e-posta alıcısı listeleri içeren sahte vücut içeriğini içerir, ya da sadece kötü amaçlı yazılımlarını yeni e-postalar veya yem belgeleri kullanarak birden çok kez yeniden konumlandırın."
Kampanyalara dağıtılan birincil kötü amaçlı yazılım, Netwire ve Darkcomet, genel olarak sunulan ve daha düşük seviyeli siber suçlar tarafından yaygın olarak kullanılan iki uzaktan erişim trojanıdır.
Modifiedelephant tarafından kullanılan Visual Basic Keylogger, 2012'den bu yana aynı kalmıştır ve bu yıllar boyunca forumları kesmek serbestçe kullanılabilir. Sentinellabs, artık modern işletim sistemi sürümlerinde bile çalışmadığını vurgulayan, aracın antikamı hakkında yorumlar.
Android kötü amaçlı yazılım aynı zamanda bir emtia Truva'sıdır, bir APK şeklinde mağdurlara teslim ederek, bir haber uygulaması veya güvenli bir mesajlaşma aracı olarak pozlayarak kendilerini kurmak için onları kandırır.
Sentinellabs raporu, belirli modelefant saldırılarının zamanlaması ile kısa bir süre sonra takip eden hedeflerin tutuklanması arasında çeşitli korelasyonlar yapar.
Hindistan Devletinin çıkarlarına uygun olan hedefleme kapsamıyla birleştirilen bu tesadüf, hackerların Hindistan'ın resmi yönetiminin çevreleri tarafından desteklendiği çok muhtemel bir hipotez oluşturuyor.
Konuşma özgürlüğü aktivistleri ve akademisyenler finansal amaçlar için hedeflenmiyor, bu yüzden bu saldırılar her zaman temel bir siyasi nüansa sahip.
Devlet Hacker'ın yeni kötü amaçlı yazılımları 250 gün boyunca tespit edilemelerine yardımcı oldu
Alman benzin kaynağı firması yağtaşlama siber saldırı ile felçli
Moller bilgisayar korsanları, yeni kötü amaçlı yazılımları son derece kaçınılmaz kampanyada kullanıyor
Haber Corp, "kalıcı" ulus devlet siber saldırılarından hack açıklar
ABD, IRS, Sosyal Güvenlik Dolandırıcılığı için birden fazla çağrı merkezini suçluyor
Kaynak: Bleeping Computer