Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Enerji Tesisi Windows Komut Dosyası Sunucusunun Başlatılmasını Engelleyerek Saldırıyı Engelledi
Sayın Mihir (MihirBagwe) •
5 Eylül 2023
Ukraynalı siber savunucular, Rus askeri bilgisayar korsanlarının, siber casusluğa yol açan kötü amaçlı bir komut dosyası içeren kimlik avı e-postalarıyla kritik bir enerji altyapısı tesisini hedef aldığını söyledi.
Ayrıca bakınız: Los Alamos Bilim Adamları: Çin Ordusuna Alındı
Pazartesi günü Ukrayna Bilgisayar Acil Durum Müdahale Ekibi, kampanyayı eski adıyla Stronsiyum olan, Fancy Bear ve Forest Blizzard olarak da bilinen Rus GRU hack grubu APT28’e bağladı.
Kiev’e yönelik bir dizi hedef odaklı kimlik avı kampanyasının arkasında Rus devlet korsanlığı grubu bulunuyor. Bu yılın başlarında ABD ve İngiltere yetkilileri, grubun kötü amaçlı yazılım dağıtmak ve dünya çapındaki Cisco yönlendiricilerine erişmek için bilinen bir güvenlik açığından yararlandığı konusunda uyarıda bulundu (bkz: Ukrayna Kimlik Avı Saldırılarıyla Karşı Karşıya, Bilgi Operasyonları).
CERT-UA raporu, Ukrayna kuvvetlerinin Rus savunmasının güneydeki ilk hattını ihlal ettiği bildirildiğinden yayınladı.
GRU bilgisayar korsanları tuzak içeren bir zip arşivi içeren e-postalar gönderdi jpeg dosyalar ve adlı bir toplu iş dosyası weblinks.cmd. Toplu iş dosyasını çalıştırmak, sahte web sayfalarını açar ve bir VBS betiğini çalıştırır. .bat dosya.
Toplu iş dosyası, bir URL’ye bağlanmak için Microsoft Edge tarayıcısını başsız modda kullanır. Başsız bir tarayıcının grafiksel bir kullanıcı arayüzü yoktur ve çoğunlukla test etmek veya kazımak için kullanılır. Saldırganlar ayrıca Onion Router aracılığıyla bilgi aktarmak amacıyla Tor anonimlik tarayıcısını kurban bilgisayarlara indirir. APT28 ayrıca kurban sistemin hesap şifresinin karmasını elde etmek için bir PowerShell betiği kullanıyor ve bunu SMB protokolü aracılığıyla aktarıyor.
Enerji tesisindeki bir siber savunma görevlisi, tesise erişimi engelleyerek saldırıyı engelledi. mockbin.org Ve mocky.io CERT-UA, Windows Komut Dosyası Sunucusunun başlatılmasının durdurulduğunu söylüyor.