Команда Sekoia Threat Detection & Research (TDR) выпустила отчет, в котором подробно описывается серия кибератак, направленных на курдские сайты.
SilentSelfie Campaign
Они обнаружили 25 курдских сайтов, скомпрометированных четырьмя различными вариантами вредоносного скрипта. Среди скомпрометированных сайтов - сайты, связанные с курдской прессой и СМИ, администрацией и вооруженными силами Рожавы, а также революционными левыми политическими партиями и организациями в Турции и курдских регионах.
Скрипты различались по сложности: от базовых версий, которые собирали текущее местоположение пользователей, до более продвинутых, которые отслеживали местоположение в течение 400 дней, получали доступ к камерам selfie и запускали вредоносное приложение для Android. Предназначенные для сбора информации о посетителях, скрипты собирали такие данные, как местоположение, изображения и информация об устройстве, а некоторые из них использовали обфускацию, чтобы избежать обнаружения. Эти скрипты были обнаружены на множестве сайтов, включая новостные издания и политические платформы, связанные с курдской общиной. Наиболее сложный вариант направлял пользователей на установку вредоносного APK, который собирал данные о контактах, местоположении и сети.
Кампания отличается своей продолжительностью и масштабом: она началась в конце 2022 года. TDR Sekoia не обнаружил связи между этой активностью и какими-либо известными тактиками, используемыми ранее идентифицированными группами злоумышленников в регионе, что говорит о появлении нового, неизвестного злоумышленника. Хотя атрибуция остается неопределенной, ТДР Sekoia оценивает, что потенциальными участниками являются турецкие спецслужбы, сирийские спецслужбы, курдское региональное правительство и Иран, каждый из которых имеет мотивы различной степени правдоподобности, учитывая геополитическую напряженность, связанную с курдскими силами на Ближнем Востоке.
Indicators of Compromise
IPv4
- 170.75.161.102
- 23.95.14.63
- 24.246.223.228
Domains
- ciwanensoresger.com
- dicle.fm
- dirbesiye.fm
- halkin-dg.com
- hawarnews.com
- hbdh.info
- init4afrin.org
- kongra-star.org
- leftkup.com
- lekolin.org
- nuceciwan129.xyz
- orkesfm.com
- pajk.org
- rojnews.news
- ronahi.net
- ronahi.video
- sdf-press.com
- sehidenrojava.com
- star-fm.net
- targetplatform.net
- tev-dem.com
- thkp-c.org
- webmail.onlinearuba.net
- ypj-office.com
- ypjrojava.net
- yra-ufm.com
- zindi24.com
MD5
- 7ff9e87f8c8ea10e6aa688c491c81283
SHA1
- 6c75d5f31fe386a1ec94b85cfb7f873b2e100062
SHA256
- 2d75110d4c227c59b9c8fb02cc54b99d0b41e33a2fe1ad50e2fdf0cfb1e701d5
