Saldirgan, IPLAM.COM.HK (Hong Kong lojistik firmasinin) venus@iplam.com.hk hesabini
kompromize ederek gercek bir hava kargo email zincirini ele gecirmis ve bu zincire malicious
shipping advice.JS ekini ekleyerek hedef firmalara (UT Freight vs.) gonderimstir.
Hedef Sektör
Lojistik / Nakliyat (Shipping & Freight)
Gonderici (Kompromize)
michelleyen@utfreight.com (UT Freight Service Ltd Kaohsiung)
Konu
RE: Air shpt - S/Standard Chem. C/UNILAB, Prozelax 200mcg capsule(4310017979), cargoes ready date: 30 June
MAWB
297-61548675
HAWB
UTKHH260016
Rotalar
CI 4923/30 TPE → CI 701/01 MNL (Tayvan-Filipinler hava kargo)
Kurban Firmalar
UT Freight Service (KHH), Freight Facilitators (julie_FFC, ayeh_perez), KHH.SAAMG Pierce Huang
SMTP engeli: Port 2401 uzerine gelen/giden baglantilari filtrele
AgentTesla temizle: Startup, AppData ve Task Scheduler'i kontrol et
Sifre degistir: Tum kurumsal sifreleri derhal degistir (Tesla sifre calar)
IPLAM.COM.HK: Bu domainden gelen tum emailleri sekiz ile incele
Teknik Ozet
Bu ornek, AgentTesla gelismis bir BEC (Business Email Compromise) kampanyasinin
parcasidur. Saldirgan, Hong Kong merkezli lojistik firmasinin (iplam.com.hk) email
hesabini (venus@iplam.com.hk) kompromize ederek gercek bir hava kargo sevkiyat
yazismasina malicious JavaScript eki (shipping advice.JS) eklemis ve nakliyat
firmalarini hedef almistir. Cesyrilen veriler, port 2401 uzerinden SMTP ile kompromize edilmis
hesap araciligiyla geri aktarilmaktadir.
Turkce konusulan gelistirici 'Turk Hack Team' ile iliskilendirilen ve Turkiye'den yonetildigi dusunulen platform. Pek cok farkli siber suc grubu musterisi bulunmaktadir.