Siber güvenlik şirketi ESET, Ballistic Bobcat grubunun yeni saldırı modeli olan ve Sponsor adı verilen gelişmiş bir saldırı kampanyasını keşfetti. Bu saldırıların hedefleri arasında özellikle İsrail başta olmak üzere Brezilya ve Birleşik Arap Emirlikleri gibi bölgeler yer alıyor. En az 34 farklı kurbanın etkilendiği bu saldırılar, Sponsoring Access adıyla tanımlandı ve saldırıların kapsamı oldukça geniş.
Ballistic Bobcat ve Hedefleri
İran bağlantılı olduğu düşünülen ve APT35/APT42 kod adlarıyla da bilinen, Charming Kitten, TA453 ve PHOSPHORUS gibi isimlerle de anılan bu grup; eğitim, hükümet ve sağlık sektörlerine yönelik siber casusluk faaliyetleri yürütüyor. Ayrıca, insan hakları savunucuları ve gazeteciler üzerinde de yoğunlaşan bu gelişmiş tehdit aktörü, özellikle Orta Doğu, İsrail ve Amerika Birleşik Devletleri bölgelerinde aktif.
Saldırının Kapsamı ve Hedefler
İsrail’de otomotiv, üretim, mühendislik, finans, medya, sağlık, teknoloji ve telekomünikasyon sektörlerindeki çeşitli şirketler, saldırıların ana hedefleri arasında yer alıyor. Bu saldırıların toplam 34 kurbanı bulunuyor ve bunların büyük çoğunluğu İsrail’de iken, yalnızca iki kurban Brezilya ve BAE’de tespit edildi. Bu durum, grubun hedef seçiminin oldukça geniş ve çeşitli olduğunu gösteriyor.
Sponsoring Access ve Yeni Keşfedilen Saldırı Yöntemi
Ballistic Bobcat’in geliştirdiği Sponsoring Access adlı yeni saldırı yöntemi, grup tarafından ortaya çıkarıldı ve detaylı analiz edildi. Çalışmalar, grubun tarama ve istismar davranışlarının, önceden belirlenmiş kurbanlara yönelik değil, daha geniş çaplı ve rastgele hedeflere odaklandığını ortaya koyuyor. Bu nedenle, Ballistic Bobcat’in internete açık Microsoft Exchange sunucularındaki zafiyetleri kullanarak, fırsatçı saldırılar düzenlediği düşünülüyor.
Ballistic Bobcat’in Kullanılan Araçları ve Saldırı Dinamikleri
Grup, yeni keşfedilen Sponsor arka kapısı ve çeşitli özel araç setleri ile siber saldırılarını sürdürüyor. Bu arka kapı, diskte depolanan yapılandırma dosyalarını kullanmakta ve gizlilik amacıyla yığın dosyaları aracılığıyla dağıtılmaktadır. Ayrıca, tespit edilmemek adına zararsız gibi gösterilen bu yapılandırma dosyaları, saldırganların sistemlere sızmasını kolaylaştırıyor. Bu yeni arka kapı, Eylül 2021’de dağıtılmaya başlanmış ve PowerLess saldırılarını tamamlayan başka saldırılarla da ilişkilendirilmiştir. Ayrıca, pandemi döneminde COVID-19 ile ilgili kuruluşlar ve tıbbi araştırma merkezleri de hedef alınmıştır.
Uzman Görüşleri ve Güvenlik Tavsiyeleri
ESET araştırmacısı Adam Burgher, konuyla ilgili yaptığı açıklamada, “Grup, yeni keşfedilen Sponsor arka kapısı ve çeşitli araçlar kullanarak, siber saldırılarını sürdürüyor. Kuruluşlara, internete açık tüm cihazlara güncel yamalar uygulamalarını ve yeni tehditlere karşı dikkatli olmalarını öneriyoruz,” dedi.
Sonuç ve Güvenlik Önlemleri
Ballistic Bobcat’in gelişmiş araç setleri ve saldırı teknikleri, siber güvenlik uzmanlarının dikkatini çekmeye devam ediyor. Kuruluşların, yamalama ve izleme konusunda titiz davranması, saldırıların önlenmesi açısından hayati önem taşıyor.
