Confucius adıyla bilinen Hindistan merkezli gelişmiş tehdit grubu, toplumdaki Pegasus korkusundan faydalanarak Pakistan ordusunu hedef alıyor.
Trend Micro araştırmacıları tarafından 17 Ağustos’ta yayınlanan rapora göre, Confucius adıyla anılan bir gelişmiş tehdit grubunca (APT / Advanced Persistent Threat) Pakistan ordusuna yönelik yapılan yeni kimlik avı girişimi tespit edildi.
NSO Group tarafından geliştirilen Pegasus zararlı yazılımının toplumda yarattığı korku havasından ötürü kurbanlarını etkilemek amacıyla bunu kullanan tehdit aktörleri, önce güven veriyor. Sonrasında ise asıl emellerine yönelik girişimlerde bulunuyorlar.
Pakistan ordusuna ve ordu mensuplarına yapılan saldırı genel itibariyle iki aşamadan oluşuyor. İlk aşamada saldırganlar meşru bir Pakistan gazetesinin makalesinden kopyalanmış bir e-postayı kurbanlara gönderiyor. E-mail spoofing tekniğinden faydalanarak mailin “Pakistan Silahlı Kuvvetleri İletişim Kanalı” (info@ispr.gov.pk) gibi gösterilmesi sağlanıyor.
İlk gönderilen masum mailden hemen sonrasında ise sözde Pakistan ordusunun Pegasus casus yazılımı ile ilgili yapmış olduğu bir uyarı maili gibi bir mesaj gönderiliyor. Bu mailde ise kısaltılmış linkle indirilen şifreli bir kötü amaçlı Word dosyası ve bu dosyanın parolası mevcut. Böylece kötü amaçlı Word dosyasına ait bağlantı içeren mailler herhangi bir güvenlik sistemine takılmıyor. Saldırganlar bu maili de yine “Pakistan Silahlı Kuvvetleri” gibi (alert@ispr.gov.pk) gönderiyor.
Mailler Trend Micro’nun yapmış olduğu araştırmaya göre saldırganlarca ele geçirilen başka masum mail sunucuları ve Pakistan’daki bir ExpressVPN node’undan gönderiliyor.
Maildeki ek indirilip açıldığında şifre isteniyor, kurban şifreyi de girince makro içeren bir Word belgesi olduğu anlaşılıyor. Makrolara izin verildiği anda çeşitli süreçlerden hemen sonra sistem ele geçirilmiş oluyor.
İddialara göre Confucius APT, Hindistan devleti tarafından desteklenen ve finanse edilen bir grup. Özellikle Pakistan’ın askeri ve önemli kuruluşlarını hedef almasıyla biliniyor.
