Rusya bağlantılı APT28 bilgisayar korsanlığı grubu, sahte “Windows Update” kılavuzlarını kullanan bir kimlik avı kampanyasında Ukrayna hükümet kurumlarını hedef aldı.
Nisan ayında CERT-UA, Microsoft Outlook’ta devlet kurumlarındaki sistem yöneticileri gibi görünen kişilerden – “Windows Update” yazan bir konu satırıyla gönderilen kötü amaçlı e-postalar gözlemledi. E-postalar, alıcıları “bir komut satırı başlatma ve bir PowerShell komutu yürütme” konusunda kandırmaya çalıştı.
Rusya Genelkurmay Ana İstihbarat Müdürlüğü’nün (GRU) 26165 askeri biriminde faaliyet gösteren APT28 grubunun 2007’den beri aktif olduğu biliniyor ve dünya çapında hükümetler, güvenlik kuruluşları, ordular ve 2016 ABD dahil olmak üzere çeşitli operasyonları hedef aldı. cumhurbaşkanlığı seçimi.
“Belirtilen komut, işletim sistemini güncelleme sürecini simüle eden bir PowerShell betiğini indirecek ve ‘tasklist’, ‘systeminfo’ komutlarını kullanarak bilgisayar hakkında temel bilgileri toplamak için tasarlanmış aşağıdaki PowerShell betiğini indirip çalıştıracak ve CERT-UA uyarısında, “Mocky hizmeti API’sine HTTP isteği kullanılarak sonuçlar alındı” ifadesi yer aldı.
Bundan sonra CERT-UA, PowerShell’e kısıtlamalar getiren kuruluşların Mocky hizmet API’sini kullanmasını ve ağ bağlantılarını izlemesini önerir. NCSC, NSA, CISA ve FBI ayrıca APT28’in saldırılarıyla bağlantılı taktikler, teknikler ve prosedürler (TTP’ler) hakkında bilgi içeren ortak bir danışma belgesi yayınladı.