Pawn Storm (aynı zamanda APT28 veya Forest Blizzard), taktik, teknik ve prosedürlerinin (TTP'ler) sürekli tekrarlanmasıyla karakterize edilen bir grup APT aktörüdür.
Grubun dünya çapında yüksek değerli hedefleri hedefleyen on yıllık kimlik avı e-posta kampanyalarını hâlâ kullandığı biliniyor. Her ne kadar kampanya yöntemleri ve altyapısı zaman içinde kademeli olarak değişse de, daha gelişmiş kampanyalarda kullanılanlar da dahil olmak üzere Pawn Storm'un altyapısı hakkında hala değerli bilgiler sağlıyorlar.
Trend Micro, Pawn Storm'un Nisan 2022 ile Kasım 2023 arasındaki faaliyetlerini takip etti: Bu süre zarfında Pawn Storm, çeşitli yöntemler kullanarak NTLMv2 karma geçiş saldırıları başlatmaya çalıştı. Kötü niyetli hedef odaklı kimlik avı kampanyalarının alıcıları arasında dış politika, enerji, savunma ve ulaştırma kuruluşları yer alıyor. Grup ayrıca işgücü, sosyal refah, finans ve ebeveynlik ile ilgilenen kuruluşları ve hatta yerel şehir yönetimlerini, merkez bankasını, mahkemeleri ve bir ülkenin askeri şubesinin itfaiye teşkilatını da hedef aldı.
Gelişmiş saldırılar
Açıkça görülen karmaşıklık eksikliği, mutlaka faillerin başarılı olmadığı veya kampanyaların karmaşık olmadığı anlamına gelmez. Aksine, Pawn Storm'un zaman içinde binlerce e-posta hesabını tehlikeye attığına ve görünüşte tekrarlanan bu saldırılardan bazılarının akıllıca tasarlanıp gizlendiğine dair açık kanıtlar var. Bazıları ayrıca gelişmiş TTP'ler kullanır. Tekrarlayan, çoğunlukla sert ve saldırgan kampanyaların “gürültüsü”, ilk müdahalenin sessizliğini, inceliğini ve karmaşıklığını ve ayrıca davetsiz misafirler mağdurların kuruluşlarında bir yer edindikten sonra gerçekleşebilecek sömürü sonrası eylemleri bastırır.
Trend Micro Kıdemli Tehdit Araştırmacısı Feike Hacquebord, grubun faaliyetlerini şöyle sınıflandırıyor: Pawn Storm, 29 Kasım - 11 Aralık 2023 tarihleri arasında Avrupa'daki çeşitli hükümetlere karşı bir kimlik avı kampanyası başlattı. Bu kampanyayı teknik göstergeleri kullanarak bazı Net-NTLMv2 karma geçiş kampanyalarıyla ilişkilendirebiliriz. Örneğin her iki kampanyada da aynı bilgisayar adı kullanılmış. Ayrıca hedef odaklı kimlik avı e-postaları göndermek ve bazı Net-NTLMv2 karma aktarma kampanyalarında kullanılan LNK dosyalarını oluşturmak için de kullanıldı.
TrendMicro.com'da daha fazlası
Trend Micro Hakkında Dünyanın önde gelen BT güvenliği sağlayıcılarından biri olan Trend Micro, dijital veri alışverişi için güvenli bir dünya yaratılmasına yardımcı olur. 30 yılı aşkın güvenlik uzmanlığı, küresel tehdit araştırması ve sürekli yenilikle Trend Micro işletmeler, devlet kurumları ve tüketiciler için koruma sunar. XGen™ güvenlik stratejimiz sayesinde çözümlerimiz, öncü ortamlar için optimize edilmiş nesiller arası savunma teknikleri kombinasyonundan yararlanır. Ağa bağlı tehdit bilgileri, daha iyi ve daha hızlı koruma sağlar. Bulut iş yükleri, uç noktalar, e-posta, IIoT ve ağlar için optimize edilmiş bağlantılı çözümlerimiz, daha hızlı tehdit algılama ve yanıt için tüm kuruluş genelinde merkezileştirilmiş görünürlük sağlar.
Konuyla ilgili makaleler