Bilgisayar Korsanları, Kötü Amaçlı Yazılım Dağıtmak İçin Gazeteci Ve Medya Kuruluşu Gibi Davranıyor

Medya kuruluşları ve gazeteciler, kariyerleri boyunca diğer tüm bireylerin karşılaştığı çok çeşitli tehditlere maruz kalmaktadır.

Son birkaç yılda, gazetecilerin ve medya kuruluşlarının, aşağıdaki ülkelerden kaynaklanan APT tehdit gruplarına dahil olan devlet bağlantılı aktörler tarafından hedef alındığına dair birçok rapor var:

• Çin
• Kuzey Kore
• İran
• Türkiye

Tehdit aktörleri, ellerindeki kamuya açık olmayan bilgilere erişebildikleri için tüm bu hedefleri hedef almaktadır. Tehdit aktörleri, bu fırsatın yardımıyla yasadışı siber casusluk operasyonlarını genişletebilir ve artırabilir.

Yasa Dışı Faaliyet

Günümüzde gazetecileri taklit eden veya hedef alan birkaç APT grubu var ve Proofpoint analistleri bu faaliyetleri 2021'den 2022'ye kadar izliyor.

2021'in başından bu yana, Amerikalı bir gazetecinin Çin ile bağlantılı olduğu bildirilen 'Zirkonyum' (TA412) olarak bilinen bir siber tehdit tarafından hedef alındığı doğrulanmış bir vaka var. E-postaları, bir mesaj görüntülendiğinde onları uyaran izleyiciler içeriyordu ve bunları izlemek için bu araçları kullandılar.

Tehdit aktörü, bu basit hilenin bir sonucu olarak hedefin genel IP adresini de elde etti. Bu bilgiler, kurbanın konumu ve İSS'nin konumu da dahil olmak üzere kurban hakkında daha fazla bilgi edinmelerini sağlayacaktır.

Gazetecilerin E-posta Hesapları Hedef Alındı

Medya sektöründe çalışan insanlar, ekonominin diğer sektörleri için mevcut olmayabilecek birçok fırsata erişebilirler. Bir saldırı iyi zamanlanmış ve başarılı olursa bir gazetecinin e-posta hesabından hassas bilgiler elde etmek mümkündür.

Bilgi toplama sürecinde, gazeteciler genellikle aşağıdaki gibi çeşitli varlık ve parti türleriyle etkileşime girerler:

• Dış taraflar
• Yabancı partiler
• Yarı anonim partiler

Bunun bir sonucu olarak, gazeteciler kimlik avı ve dolandırılma riski altındadır, çünkü neredeyse her zaman bilinmeyen alıcılarla ortalama bir insandan daha fazla iletişim kurarlar.

Tehdit aktörleri, bu tür hesapları doğrulayabilir veya bunlara erişebilir ve bunları diğer ağlara erişmek için kullanabilirlerse, sonraki aşamadaki saldırılar için bir giriş noktası sunabilir.

Bu kampanyaların amacı, etkin olan hedeflenen e-postaları doğrulamak ve alıcının ağlarını biraz anlamak olduğundan, hedeflenen e-postaların etkinliğini doğrulamak için tasarlanmıştır.

Aşağıdaki teknik yapılar, bir saldırgana web işaretçileri tarafından sağlanabilir ve bu bilgiler, saldırının bir sonraki aşaması planlandığı için tehdit aktörü tarafından keşif amacıyla kullanılabilir:

• Dışarıdan görülebilen IP adresleri
• User-Agent dizesi
• E-posta adresi
• Hedeflenen kullanıcı hesabının etkin olduğunu doğrulama

İlgili Gruplar

Aynı taktikler Şubat 2022'de Zirkonyum tarafından tekrar kullanıldı ve hedef olarak Rusya-Ukrayna çatışmasını takip eden gazetecilere odaklanıldı.

Aşağıda ilgili tüm gruplardan bahsettik:

• TA412 (Zirconium)
• TA459
• TA404
• TA482
• TA453 (Charming Kitten)
• TA456 (Tortoiseshell)
• TA457

TA459 grubu, Çin APT tehdidinin devam eden analizinin bir parçası olarak Nisan 2022'de Proofpoint tarafından gözlemlendi. Raporlara göre, Chinoxy kötü amaçlı yazılımı, gazetecilere gönderilen RTF dosyalarına gömüldü. Bu, RTF dosyalarına gömülü Chinoxy kötü amaçlı yazılımı aracılığıyla muhabirler tarafından kullanılabilir.

Kuzey Kore'den TA404 grubuyla ilişkili bilgisayar korsanlarının da 2022 baharında sahte iş ilanları kullanan gazeteciler gibi davrandığı gözlemlendi.

TA482'nin bir parçası olarak, Türk tehdit aktörleri, kimlik bilgilerini çalmaya çalışan gazetecilerin sosyal medya hesaplarından kimlik bilgilerini toplamayı amaçlayan kampanyalar düzenledi.

Gelecekte, APT'lerin gazetecileri çeşitli sosyal mühendislik teknikleri, kimlik avı hileleri ve kötü amaçlı yazılım damlalıklarıyla hedeflemeye devam etmesi bekleniyor.

Bir medya kuruluşu ve çalışanları, talihsiz olan genel halk tarafından erişilebilir. Bunun anlamı, hassas bilgilerin tehlikeye atılmasının bir sonucu olarak tehlikeye girebileceği anlamında sosyal mühendisliğin kurbanı olabilecekleridir.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.