Güvenlik araştırmacıları tarafından yakın zamanda havacılık endüstrisini hedef alan bir dizi saldırı kampanyası tespit edilmiştir. Saldırı kampanyasının ardındaki tehdit aktörlerinin Nijerya kökenli olup, en az beş yıldır aktif oldukları bilinmektedir. (Detaylı Analiz)
Mayıs 2021’de Microsoft Güvenlik İstihbaratı ekibi tarafından hedefli kimlik avı e-postalarıyla havacılık ve seyahat sektörlerini hedef alarak geliştirilmiş bir yükleyiciyi dağıtan ve ardından RevengeRAT veya AsyncRAT’ı teslim eden dinamik bir saldırı kampanyası tespit edilmiştir. Cisco Talos Microsoft tarafından gerçekleştirilen araştırmaları baz alarak söz konusu zararlı yazılım kampanyası “Operation Layover” olarak adlandırmıştır.
Operation Layover, tehdit aktörlerinin faaliyetlerinin başlangıcından bu yana kendi zararlı yazılımını geliştirmeksizin hazır araçlar kullandığından teknik olarak karmaşık görünmemektedir. Buna ek olarak tehdit aktörlerinin, bu hazır zararlı yazılımların tespit edilmeden kullanılmasını sağlayan şifreleme araçlarını da çevrimiçi forumlardan temin ettikleri gözlemlenmiştir. Saldırı zinciri, PDF dosyaları olduğu iddia edilen ancak Google Drive’da barındırılan bir VBScript dosyasına bağlantı veren havacılık veya kargo endüstrisi ile ilişkili e-postaların dağıtılması ile başlamaktadır. AsyncRAT ve njRAT gibi uzaktan erişim truva atlarının (RAT) teslim edilmesi, kuruluşları bir dizi güvenlik riskine karşı savunmasız bırakmaktadır. Cisco Talos araştırmacıları tarafından, Ağustos 2018’e kadar uzanan 31 farklı havacılık temalı phishing bulgusu tespit edilmiştir.
Bu tür saldırı kampanyaları kullanılan TTP’ler bakımından her ne kadar basit görünse de doğru koşullar sağlandığında büyük şirketler için önemli bir risk teşkil etmektedir. Bu sebeple RAT ve diğer zararlı yazılımlar kullanılarak gerçekleştirilebilecek saldırıların hedefi olmamak adına bilinmeyen taraflardan gelen e-posta ve eklerinin açılmaması, şüpheli bağlantılara tıklanmaması ve kurum/kuruluş çalışanlarının bu bağlamda bilinçlendirilmesi önem arz etmektedir. Ayrıca olası saldırı riskini en aza indirecek ve hızlı bir şekilde aksiyon almayı kolaylaştıracak güvenilir güvenlik çözümlerinin kullanılması tavsiye edilmektedir.
Söz konusu saldırı kampanyasına ilişkin tespit edilen bazı IoC bulguları:
FileHash-SHA256:
- 03590bca5c249fff42c5bacef39bd308c91f8630a1a19386bed3d469f99864ac
- 04ea078080a913511d938455a2ea0bfce88597499bf791a99d8561f8870da627
- 083217a2f03d5c9b0a8e3371afda4c6dd2402ac98d0199aee9729a4e604db603
- 096cf7af0363489cba18a567f535f3c79cb918226563402ebfa4288d7f4f88e9
- 0a53710820d1c060c6d46946c81417b4294898accc31c847a027c5622b7afbcb
- 0b119b80a5676021afd368da94527fc9fe717e2abf5d94574d29bec307251483
- 0b3f6114a06812ec6676c730de23fd0a60b15b73210ac1151417353bcf7785aa
- 0bbdae8713cdbb85ed8508140cc98c15c13fa8a82403d5ce848737d18491673a
- 0c8b4a611d635d0c3fd224562f334b9b0798697af52961ed0e7537413b608830
- 0caea3fdb7fbd02733441a5e54c1b03694e2203119dd1ff2affd85ca65d76d23
- 0d04d8a74c4bdb7401e91bff73955738788901724d73b6c42272aa188e1cd72c
- 0ea350d81b1fde31efdace2a3a96d3bacd6da7dc972723542e1de2dfd64e79a9
- 0f05e24cc77952658e111c0bb2bf8236fd38d2e1ed90ea9e57e53c13e89275ff
- 108deaea533c59386bc4c8c7fbade8f1e42e629908bd516ac2a6aa45cb854ff0
- 1103019f32dd745bffa5319de5a18c5ebc50425f5ec102a436a7de665e6b1553
Domains:
- akconsult[.]linkpc[.]net
- nextboss[.]ddns[.]net
- exchangexe2021[.]ddns[.]net
- shugardaddy[.]ddns[.]net
- frankent2021[.]ddns[.]net
- hoc2021[.]ddns [.]net
- jorigt95[.]ddns[.]net
- 8970[.]ddns[.]net
- rezervrem[.]duckdns[.]org
- ay sonu[.]duckdns[.]org
- e29rava[.]ddns[.]net