Confucius APT, Pegasus Korkusunu Kullanarak Pakistan’ı Hedef Alıyor
Trend Micro araştırmacıları tarafından 17 Ağustos’ta yayınlanan rapora nazaran, Confucius ismiyle anılan bir gelişmiş tehdit grubunca (APT / Advanced Persistent Threat) Pakistan ordusuna yönelik yapılan yeni kimlik avı teşebbüsü tespit edildi.
NSO Group tarafından geliştirilen Pegasus ziyanlı yazılımının toplumda yarattığı endişe havasından dolayı kurbanlarını etkilemek gayesiyle bunu kullanan tehdit aktörleri, evvel inanç veriyor. Sonrasında ise asıl emellerine yönelik teşebbüslerde bulunuyorlar.
Pakistan ordusuna ve ordu mensuplarına yapılan hücum genel itibariyle iki etaptan oluşuyor. Birinci etapta saldırganlar yasal bir Pakistan gazetesinin makalesinden kopyalanmış bir e-postayı kurbanlara gönderiyor. E-mail spoofing tekniğinden faydalanarak mailin “Pakistan Silahlı Kuvvetleri Bağlantı Kanalı” ([email protected]) üzere gösterilmesi sağlanıyor.
Birinci gönderilen suçsuz mailden çabucak sonrasında ise kelamda Pakistan ordusunun Pegasus casus yazılımı ile ilgili yapmış olduğu bir ikaz maili üzere bir bildiri gönderiliyor. Bu mailde ise kısaltılmış linkle indirilen şifreli bir makus hedefli Word belgesi ve bu evrakın parolası mevcut. Böylelikle berbat hedefli Word belgesine ilişkin bağlantı içeren mailler rastgele bir güvenlik sistemine takılmıyor. Saldırganlar bu maili de tekrar “Pakistan Silahlı Kuvvetleri” üzere ([email protected]) gönderiyor.
Mailler Trend Micro’nun yapmış olduğu araştırmaya nazaran saldırganlarca ele geçirilen öteki günahsız mail sunucuları ve Pakistan’daki bir ExpressVPN node’undan gönderiliyor.
Maildeki ek indirilip açıldığında şifre isteniyor, kurban şifreyi de girince makro içeren bir Word evrakı olduğu anlaşılıyor. Makrolara müsaade verildiği anda çeşitli süreçlerden çabucak sonra sistem ele geçirilmiş oluyor.
Tezlere nazaran Confucius APT, Hindistan devleti tarafından desteklenen ve finanse edilen bir küme. Bilhassa Pakistan’ın askeri ve kıymetli kuruluşlarını amaç almasıyla biliniyor.