İsrailli siber güvenlik firması Dream, İran yanlısı tehdit aktörlerinin ve Homeland Justice adlı grubun yürüttüğü kapsamlı bir oltalama kampanyasını ortaya çıkardı. Bu operasyon, dünya genelindeki diplomatik kurumlara yönelik hedefli e-posta saldırılarını içeriyor.
Hedefli Oltalama ve Teknik Yöntemler
Saldırılar, İran ve İsrail arasındaki jeopolitik gerilimleri yansıtan temalarla hazırlanmış spear-phishing e-postaları aracılığıyla gerçekleştirildi. Alıcılar, kötü amaçlı Visual Basic for Applications (VBA) makrosu içeren Microsoft Word dosyalarını açmaları ve “İçeriği Etkinleştir” seçeneğini kullanmaları için ikna edildi. Bu makrolar, komut ve kontrol (C2) sunucularıyla iletişim kuran ve sistem bilgisi toplayan zararlı yazılımların yüklenmesini sağladı.
Küresel Ölçek ve Güvenilirlik Katmanları
Dream’in raporuna göre, saldırılar Orta Doğu, Afrika, Avrupa, Asya ve Amerika kıtalarındaki 104 benzersiz ele geçirilmiş e-posta adresinden gönderildi. Bu adresler, elçilikler, konsolosluklar ve uluslararası kuruluşlara ait olup, özellikle Avrupa elçilikleri ve Afrika merkezli kurumlar yoğun şekilde hedef alındı. Örneğin, Paris’teki Umman Dışişleri Bakanlığı’na ait hacklenmiş bir posta kutusu (*@fm.gov.om) kullanılarak gönderilen mesajlar, saldırıya ekstra güvenilirlik kazandırdı.
Operasyonun Amacı ve Önceki Bağlantılar
Kampanyanın nihai hedefi, VBA makrosu aracılığıyla kalıcılık sağlayan ve komut-komuta sunucusuyla etkileşimde bulunan yürütülebilir dosyaların dağıtılmasıdır. Geçtiğimiz ay siber güvenlik firması ClearSky, benzer tekniklerin 2023 yılında Arnavutluk’taki Mojahedin-e-Khalq hedeflerine yönelik saldırılarda da kullanıldığını belirtti ve bu faaliyetlerin aynı İran tehdit aktörleriyle bağlantılı olduğunu orta düzeyde güvenle değerlendirdi.