Azerbaycan’da bulunan hedefler, Rust tabanlı kötü amaçlı yazılımların ele geçirilen sistemlere dağıtılması için tasarlanan yeni bir kampanyanın parçası olarak belirlendi.
Siber güvenlik firması Deep Instinct, operasyonu Rusty Flag Operasyonu adı altında takip ediyor. Bilinen herhangi bir tehdit aktörü veya grubuyla ilişkisi bulunmamaktadır.
Güvenlik araştırmacıları Simon Kenin, Ron Ben Yizhak ve Mark Vaitzman geçen hafta yayınlanan bir analizde “Operasyonun en az iki farklı başlangıç erişim vektörü var” dedi. “Operasyonda kullanılan tuzaklardan biri Storm-0978 grubu tarafından kullanılan değiştirilmiş bir belge. Bu kasıtlı bir ‘sahte bayrak’ olabilir.”
Saldırı zinciri, Dropbox’ta barındırılan bir MSI yükleyicisi olan ikinci aşama veriyi almak için 1.KARABAKH.jpg.lnk adlı LNK dosyasını fırlatma rampası olarak kullanıyor.
Yükleyici dosyasında ise Rust’ta yazılmış bir implant, implantın yürütülmesi için zamanlanmış bir görev için bir XML dosyası ve Azerbaycan Savunma Bakanlığı sembolünün filigranlarını içeren sahte bir görüntü dosyası bulunuyor.
Alternatif bir bulaşma vektörü, Microsoft Office’in Denklem Düzenleyicisi’nde altı yıllık bir bellek bozulması güvenlik açığı olan CVE-2017-11882’yi kullanarak farklı bir MSI dosyası sunan bir Dropbox URL’sini çağıran “Overview_of_UWCs_UkraineInNATO_campaign.docx” adlı bir Microsoft Office belgesidir. aynı Rust arka kapısının bir çeşidi.
Summary_of_UWCs_UkraineInNATO_campaign.docx’in kullanımı dikkat çekicidir, çünkü aynı dosya adına sahip bir tuzak, Office’in uzaktan kod yürütme kusurundan yararlanan ve Ukrayna’yı hedef alan son siber saldırılarda Storm-0978 (diğer adıyla RomCom, Tropical Scorpius, UNC2596 ve Void Rabisu) tarafından desteklenmiştir ( CVE-2023-36884).
SaaS Güvenliğini Yükseltme: ITDR ve SSPM için Kapsamlı Bir Kılavuz
ITDR’nin tehditleri nasıl tanımlayıp azalttığına ilişkin eyleme geçirilebilir bilgilerle bir adım önde olun. Kimliğinizin ihlal edilemez kalmasını sağlamada SSPM’nin vazgeçilmez rolü hakkında bilgi edinin.
Becerilerinizi Güçlendirin
Araştırmacılar, “Bu eylem, bu saldırıyı Storm-0978’e bağlamak için kasıtlı bir yanıltma girişimi gibi görünüyor” dedi.
Bir tanesi “WinDefenderHealth.exe” kılığına giren Rust arka kapısı, ele geçirilen ana bilgisayardan bilgi toplama ve bunu saldırganın kontrolündeki bir sunucuya gönderme yetenekleriyle donatılmıştır.
Kampanyanın kesin nihai hedefleri bu aşamada belirsizliğini koruyor. Aynı zamanda bunun bir kırmızı takım antrenmanı olma ihtimali de göz ardı edilmedi.
Araştırmacılar, “Rust, kötü amaçlı yazılım yazarları arasında giderek daha popüler hale geliyor” dedi. “Güvenlik ürünleri henüz Rust kötü amaçlı yazılımlarını doğru bir şekilde tespit edemiyor ve tersine mühendislik süreci daha karmaşık.”