Hackerlar, Sahte İş Teklifleri ve Gizli Zararlı Yazılımlarla Havacılık Sektörünü Hedef Alıyor

Son zamanlarda “İranian Dream Job” (İranlıların Hayali İş) kampanyası olarak bilinen bir siber saldırı, havacılık, savunma ve uzay sektörlerinde çalışanları cazip iş teklifleriyle hedef alıyor.

Siber güvenlik firması ClearSky’in açıkladığına göre bu kampanya, “Charming Kitten” (Ayrıca APT35 olarak da bilinir) adlı İranlı hacker organizasyonuyla bağlantılı bir grup tarafından yürütülmektedir.

Kampanya, bireyleri işle ilgili materyallere benzeyen kötü amaçlı yazılımları indirmeye kandırarak hedeflenen şirketlere sızmak ve hassas bilgileri çalmayı amaçlamaktadır.

ClearSky, “Hayal İş” dolandırıcılığının, genellikle kurbanları kötü amaçlı yazılım indirmeye teşvik etmek için sahte şirketler kullanan LinkedIn üzerinde sahte işe alım uzmanı profillerini içerdiğini belirtiyor. Söz konusu kötü amaçlı yazılım olan SnailResin, kurbanın bilgisayarına bulaşır ve hackerların gizli verileri toplamasına ve ağ içindeki aktiviteleri izlemesine olanak sağlar.

ClearSky, bu hackerların tekniklerini geliştirdiğini belirtiyor. Örneğin, gerçek bulut hizmetleri olan Cloudflare ve GitHub’ı kullanarak kötü niyetli bağlantıları gizlemek, bu da tespiti zorlaştırıyor.

İlginç bir şekilde, İranlı hackerlar Kuzey Kore’nin Lazarus Grubu’nun taktiklerini benimsemişler. Lazarus Grubu, “Hayalindeki İş” dolandırıcılığını 2020 yılında başlatmıştı. Lazarus’un yaklaşımını yansıtarak, İranlı hackerlar araştırmacıları yanıltıyor, bu da saldırıların kendilerine geri izlenmesini zorlaştırıyor.

ClearSky, saldırının DLL yan yükleme adı verilen bir yöntem kullanarak gerçekleştiğini açıklıyor. Bu yöntem, zararlı yazılımın meşru bir yazılım dosyası gibi davranarak bir bilgisayara sızmasına olanak sağlar. Bu teknik, şifreli dosyaların ve karmaşık kodlamanın kullanılması ile hackerların yaygın güvenlik önlemlerini atlatmasına yardımcı olur.

ClearSky’a göre, bu zararlı yazılım birçok antivirüs programını başarıyla atlatıyor ve yalnızca birkaç güvenlik aracı onu tanımlayabiliyor. Eylül 2023’ten bu yana, İran’ın “Dream Job” kampanyası kendini geliştirdi ve adapte oldu, taktiklerini ve zararlı yazılımlarını düzenli olarak güncelleyerek siber güvenlik savunmalarının bir adım önünde olmayı başardı, diyor ClearSky.

ClearSky notlarına göre, Mandiant gibi büyük siber güvenlik firmaları, özellikle Orta Doğu’da olmak üzere çeşitli ülkelerde faaliyetlerini tespit etmiştir. Kampanyanın sürekli değişen yapısını, hedeflenen sektörlere sürekli bir tehdit oluşturduğunu belirterek, dayanıklılığını ve sofistike oluşunu öne çıkarırlar.

ClearSky, havacılık, savunma ve benzeri yüksek riskli sektörlerdeki kuruluşların bu tür saldırılara karşı proaktif önlemler alarak uyanık olmaları gerektiği konusunda uyarıyor.

Çalışanları phishing ve sahte iş tekliflerinin riskleri konusunda eğitmek ve sağlam güvenlik protokollerini uygulamak, şirketlerin bu son derece aldatıcı siber tehditlere karşı savunmasızlığı azaltmalarına yardımcı olabilir.