Hedef odaklı kimlik avı kampanyası, birkaç kurbanın dikkatini çekmeyi umarak genel bir hedef kitleye e-posta göndermez, ancak genellikle şunlara odaklanır: Bireyleri askeri veriler veya ticaret gibi gizli bilgilerden vazgeçmeye ikna etmek için belirli bir kuruluş sırlar. E-postalar güvenilir bir kaynaktan geliyor gibi görünüyor ve kötü amaçlı yazılımların bulaştığı sahte bir Web sayfasına veya kötü amaçlı yazılım indiren bir dosyaya bağlantı içeriyor.
Önerilen Videolar
Proofpoint, TA530 tarafından kullanılan bilgilerin şirketin kendi web sitesi, LinkedIn gibi kamuya açık sitelerden toplanabileceğini söylüyor. Amerika Birleşik Devletleri, Birleşik Krallık ve Avustralya merkezli kuruluşlarda bulunan on binlerce kişiyi hedefliyor. Saldırılar, diğer hedef odaklı kimlik avı kampanyalarından bile daha büyüktür, ancak henüz bu boyuta yaklaşmamıştır.
TA530 çoğunlukla finansal hizmetleri hedefliyor, ardından perakende, imalat, sağlık, eğitim ve ticari hizmet sektörlerindeki kuruluşlar geliyor. Sigorta şirketleri, kamu hizmetleri ve eğlence ve medyayla ilgilenen şirketlerin yanı sıra teknoloji odaklı kuruluşlar da etkileniyor. Ulaşım, hedef listesinin en altında yer alıyor.
TA530, cephaneliğinde bankacılık Truva Atı, Satış Noktası keşif Truva Atı, indirici, dosya şifreleyen fidye yazılımı, bankacılık Truva atı botnet'i ve daha fazlası dahil olmak üzere çok sayıda oynatma yükü taşır. Örneğin, Satış Noktası keşif Truva atı çoğunlukla perakende ve konaklama şirketlerine ve finansal hizmetlere karşı yürütülen kampanyalarda kullanılıyor. Bankacılık Truva Atı, Avustralya'nın her yerindeki bankalara saldıracak şekilde yapılandırılmıştır.
Raporda sunulan örnek bir e-postada Proofpoint, TA530'un bir perakende şirketinin yöneticisine virüs bulaştırmaya çalıştığını gösteriyor. Bu e-posta hedefin adını, şirket adını ve telefon numarasını içerir. Mesaj, yöneticinin gerçek perakende satış noktalarından birinde meydana gelen bir olayla ilgili bir rapor doldurmasını talep ediyor. Yönetici belgeyi açacak ve eğer makrolar etkinleştirilirse, Satış Noktası Truva Atı'nı indirerek bilgisayarına bulaşacaktır.
Proofpoint'in sunduğu birkaç vakada, hedeflenen kişiler virüslü bir belge alıyor ancak güvenlik firması bu e-postaların aynı zamanda kötü amaçlı bağlantılar ve ekli JavaScript içerebileceğini belirtiyor indiriciler Şirket ayrıca TA530 tabanlı kampanyalarda kişiselleştirilmemiş ancak yine de aynı sonuçları taşıyan birkaç e-posta gördü.
Firma, "TA530'daki bu örneklerde gördüklerimize dayanarak, bu aktörün kişiselleştirmeyi kullanmaya ve yükleri ve teslimat yöntemlerini çeşitlendirmeye devam etmesini bekliyoruz" dedi. "Yüklerin çeşitliliği ve niteliği, TA530'un diğer aktörler adına yük taşıdığını gösteriyor. E-posta mesajlarının kişiselleştirilmesi yeni değil, ancak bu aktör, daha önce bu ölçekte görülmemiş yüksek düzeyde kişiselleştirmeyi spam kampanyalarına dahil etmiş ve otomatikleştirmiş gibi görünüyor.
Ne yazık ki Proofpoint, bu kişiselleştirme tekniğinin TA530 ile sınırlı olmadığına, sonuçta bilgisayar korsanları tarafından çekmeyi öğrendikçe kullanılacağına inanıyor. LinkedIn gibi halka açık web sitelerinden kurumsal bilgiler. Proofpoint'e göre bu sorunun cevabı son kullanıcı eğitimi ve güvenli bir e-postadır. geçit.
Editörlerin Önerileri
- Yeni COVID-19 kimlik avı e-postaları iş sırlarınızı çalabilir
Yaşam tarzınızı yükseltinDigital Trends, en son haberler, eğlenceli ürün incelemeleri, anlayışlı başyazılar ve türünün tek örneği olan ön bakışlarla okuyucuların teknolojinin hızlı tempolu dünyasını takip etmelerine yardımcı olur.
