Diğer Adlar:
· ATK140
· KelvinSec Team
· KelvinSecteamGobVe
· TAG-CR6
· teamkelvinsecteam
Hedef Aldıkları Sektörler: Finansal Servisler, Devlet Kurumları, Yönetim, Havacılık, Casino&Gaming, Haberleşme, Siber Güvenlik, Savunma, Eğitim, Enerji, Sağlık, İleri Teknoloji, Uluslar arası Organizasyonlar, Perakende, Basın, Askeri, Eczacılık, Siyasi Organizasyonlar, Araştırma, İmalat, Ulaşım
Motivasyonlar ve Hedefler:
· Kişisel Kazanç, Şöhret, İdeoloji
Kelvin Security, Kelvin Parra adlı bir kişi tarafından yönetilen bir Güney Amerika "siyah şapka" hackleme grubudur. Grup, 2015'ten beri aktif ve orta düzeyde teknik yetenekler sergiliyor. Grubun hem Clearnet'te (çok sayıda sosyal medya kuruluşu, bir YouTube kanalı, bloglar vb. İle) hem de siber suçluların yaşadığı Dark Web forumlarında ve pazarlarında geniş bir çevrimiçi varlığı var. Bu satış noktaları, çoğunlukla sattıkları çalınan verileri tanıtmak ve kötü amaçlı araç ve teknikleri (genellikle halka açık olan) paylaşmak için kullanılır.
Faaliyetleri sırasında Kelvin Security, özellikle hükümet sektörüne odaklanarak neredeyse tüm endüstri dikeylerine karşı yüzlerce saldırının sorumluluğunu üstlendi. Grubun uzmanlığı, genellikle veri hırsızlığına yol açan web tabanlı saldırılardır. Bununla birlikte, grup ayrıca ICS / SCADA sistemleri ve tıbbi cihazlara da ilgi göstermektedir. Grup aynı zamanda bir abonelik modeli olarak çeşitli bilgisayar korsanlığı ile ilgili hizmetler (kötü amaçlı yazılımlar, istismarlar, veritabanları, sistem erişimi vb.) de vermektedir.
Grup Üyesi Olduğu İddia Edilen Kişiler: Kelvin Parra (Venezuela), Rodrigo Alonzo Canaza (Peru), Omar Rodriguez (Peru), Jhonatan James (Colombia)
Kullanılan Araçlar, Zararlı Yazılımlar ve Sömürülen Zaafiyetler
Zararlı Yazılımlar | Sömürülen Zaafiyetler | Diğer Yazılımlar |
Özel Araçlar regimenDDOS WhatsApp IP Capture Script
Birçok Tehdit Aktörü Tarafından Kullanılan Araçlar KimcilWare Ransomware
Halka Açık Ulaşılabilir Araçlar Athena Botnet BoopSuite Browser-RAT Burp Suite Chimay-Red Chrome Password Dumper Crypter Dumb0 GPON Hodin RAT Industrial Security Exploitation Framework Katana Framework LSB-Steganography LimeRAT LizardStresser Bot Loki RAT Nmap OutlookLeakTest PhoneMonitor PoT QTLJacking RACP Splice-Admin TrojanCockroach Vanilla RAT WES-NG cisco-rce google-drive-exploit google_RAT iGoat-Swift izi-locker rdroid snallygaster vhackos-botnet | CVE-2016-0777 CVE-2016-8858 CVE-2017-3881 CVE-2018-10561 CVE-2018-10676 CVE-2018-1133 CVE-2018-20377 CVE-2018-2879 CVE-2018-7600 CVE-2019-0708 CVE-2019-0841 CVE-2019-7216 |
|
Hedef Aldığı Ülkeler: Türkiye, Arjantin, Avustralya, Bolivya, Brezilya, Çin, Kolombiya, Dominik Cumhuriyeti, Ekvador, Fransa, Almanya, Hong Kong, Hindistan, İran, İstail, İtalya, Kazakistan, Kuveyt, Meksika, Fas, Pakistan, Peru, Polonya, Rusya, Güney Kore, İspanya, İsveç, İsviçre, Tayvan, Hollanda, Filipinler, ABD, Ukrayna, Uruguay, Venezuela
Kampanyalar
Haziran 2015 - Kelvin Security, UNIVERSIDAD POLITÉCNICA DE MADRID'i hacklemenin sorumluluğunu üstlendi (hxxp: //www.upm.es/)
Haziran 2016 - Kelvin Security, Suudi Arabistan banka hesaplarını hacklemenin sorumluluğunu üstlendi.
Temmuz 2016 - Kelvin Security, Miami ve Lax Havalimanları'nın dumping verilerini hacklemenin sorumluluğunu üstlendi.
Temmuz 2017 - Kelvin Security, İtalyan "Istituto Nazionale di Fisica Nucleare" dumping verilerini hacklemenin sorumluluğunu üstlendi.
2018 - Kelvin Security, Cumhurbaşkanı Nicolás Maduro da dahil olmak üzere Venezuela Hükümeti yetkililerinin kişisel bilgilerini sızdırdı.
Haziran 2018 - Kelvin Security, Reaper ve Predator dronları için çok gizli olduğu iddia edilen belgeleri satışa sundu.
Haziran 2018 - Kelvin Security, Venezuela'nın seçim sisteminden çalındığı iddia edilen verileri satışa sundu.
Haziran 2018 - Kelvin Security, ABD ve Meksika sınırı arasında güvenlik kameralarını ücretsiz erişime açtı.
Haziran 2018 - Kelvin Security, Roswell, Nevada'daki Kinder Morgan'ın SCADA sistemini hacklemenin sorumluluğunu üstlendi.
Haziran 2018 - Kelvin Security, "Grupo Aeroportuario de la Ciudad de Mexico"nın olduğu iddia edilen bir veritabanını satışa sundu.
Haziran 2018 - Kelvin Security, Banplus bankasının bir veri tabanını satışa sundu.
Haziran 2018 - Kelvin Security, Peru Ulaşım Sisteminin iddia edilen bir veri tabanını satışa sundu.
Temmuz 2018 - Kelvin Security, NSA’nın XKeyscore'una benzer olduğu iddia edilen bir Kolombiya İstihbarat Sistemini satışa sundu.
Temmuz 2018 - Kelvin Security, Citadel New York Borsası'nın bir veri tabanını satışa sundu.
Ağustos 2018 - Kelvin Security, Venezuela hava kuvvetlerinin SEID (Sistema del Evaluacion Integral Digitalizado) sistemini satışa sundu.
Kasım 2018 - Kelvin Security, Meksika Hükümet Sistemi veritabanı ve erişimini satışa sundu.
Kasım 2018 - Kelvin Security, NORTON (Symantec) Kolombiya'nın iddia edilen bir veritabanını ücretsiz olarak paylaştı.
Mart 2019 - Kelvin Security, ABD, Rusya, Güney Kore, Avustralya, İsveç, Fransa, Almanya ve İspanya'dan 225 endüstriyel kontrol sistemine satış erişimi teklif etti.
Taktik ve Teknikler (MITRE ATT&CK Framework
Initial Access
T1078 - Valid Accounts
T1133 - External Remote Services
T1190 - Exploit Public-Facing Application
Execution
T1061 - Graphical User Interface
T1059.001 - Command and Scripting Interpreter: PowerShell
Persistence
T1078 - Valid Accounts
T1133 - External Remote Services
Privilege Escalation
T1078 - Valid Accounts
Defense Evasion
T1059 - Scripting
T1078 - Valid Accounts
Credential Access
T1003 – OS Credential Dumping
T1110 - Brute Force
Command and Control
T1043 - Commonly Used Port
T1219 - Remote Access Tools
Exfiltration
T1560 - Archive Collected Data
T1020 - Automated Exfiltration
T1022 - Data Encrypted
T1041 - Exfiltration Over Command and Control Channel
T1048 - Exfiltration Over Alternative Protocol
0 Yorumlar