Belarus Hacker’ları RAT ve Kimlik Avı ile Polonya ve Ukrayna’yı Hedefliyor

Siber güvenlik firması Cisco Talos’taki araştırmacılar, “Tehdit aktörünün hedefleri, bilgi çalmak ve hedeflenen sistemlerin uzaktan kontrolüdür” dedi.

Cisco Talos, bu ay iki ülkeye yönelik en son casusluk kampanyasını analiz ederken, bilgi çalan njRAT kötü amaçlı yazılımının yük dağıtımını bulduğunu söyledi. Tehdit aktörü, Nisan 2022’den beri aktif.

Ukrayna Bilgisayar Acil Müdahale Ekibi geçtiğimiz günlerde Temmuz olaylarını hacker grubu Ghostwriter’a bağladı (bkz: Ukrayna Temsilcilikleri, Zirve Öncesinde NATO RAT’ları Hedef Aldı).

Mandiant tarafından UNC1151 olarak da bilinen bilgisayar korsanlarının, Şubat 2022’de Ukrayna’yı işgalinden sonra Rusya’nın en yakın müttefiki olarak ortaya çıkan Belarus hükümeti ile yakın bağları var.

Bazı raporlar ayrıca Ghostwriter grubunun Ukrayna askeri personelini ve Polonya hükümet hizmetlerini sürekli olarak hedef alan Rus bilgisayar korsanlarıyla bağlantıları olduğunu öne sürüyor.

Grup genellikle, e-posta kimlik bilgilerini avlamak, web sitesi yönetici paneli kimlik bilgilerini çalmak ve AgentTesla ve njRAT gibi RAT’ler dahil olmak üzere ikincil kötü amaçlı yazılımları dağıtmak için bilgi çalanları bırakan, yüksek oranda hedeflenmiş hedefli kimlik avı kampanyalarına güvenir.

Cisco Talos tarafından gözlemlenen kampanyada, saldırganlar çok aşamalı bir enfeksiyon kullandı. Saldırı zinciri, genellikle Microsoft Excel ve PowerPoint dosya biçimlerini içeren kötü amaçlı e-posta ekleriyle başladı.

CERT-UA ve Cisco Talos, dosyaların arka planda kötü amaçlı kod çalıştırılmasına yol açan makroları açmak ve etkinleştirmek için bir yem olarak Ukrayna Savunma Bakanlığı, Polonya Milli Savunma Bakanlığı ve Ukrayna Devlet Hazine Hizmetini taklit ettiğini söyledi. Örneğin, Excel belgelerinden biri, belirli bir askeri birliğin askerlerinin maaş ödemelerini hesaplamak için kullanılan bir formun sahtesini yapmak için tasarlanmıştır.

Cisco Talos ayrıca, kötü amaçlı VBA kodunu yürüten katma değerli vergi beyannamesi formları gibi davranan Excel elektronik tablolarının kullanıldığını da gözlemledi. Cisco Talos, “Tüm kampanyalar, muhtemelen hedeflere e-posta eki olarak gönderilen Microsoft Office belgeleriyle başlar” dedi. “Çoğu durumda, dosya bir VBA makrosu içeren bir Excel elektronik tablosudur, ancak kötü amaçlı bir PowerPoint OLE2 dosyasının kullanıldığı dört örnek bulduk, bu da muhtemelen oyuncunun saldırılarda daha az kullanılan dosya biçimlerini kullanmaya hazır olduğunu gösteriyor.”

VBA kodu, PicassoLoader adlı bir indirici kötü amaçlı yazılımın yüklenmesinden sorumludur; bu, kalıcılığı sürdürmek ve kurbanın sisteminden veri sızdırmak için kullanılan AgentTesla uzaktan erişim Truva Atı, njRAT ve Cobalt Strike işaretleri de dahil olmak üzere ikincil bir yükü daha da dağıtır.

Başka bir Trojan – SmokeLoader

Son aylarda, Ukrayna ve müttefiklerini hedef alan tehdit aktörleri, tespit edilmekten kaçınmak için farklı dosya biçimleri ve kimlik avı tuzakları deniyor. Perşembe günü, CERT-UA, “Fatura” makbuzlarının cazibesine sahip olan ve bir ZIP dosyası içeren başka bir toplu kampanya kaydetti – Act_Zvirky_ta_rach.fakt_vid_12_07_2023.zip – ek olarak.

Saldırganlar, bu kimlik avı e-postalarını dağıtmak için büyük olasılıkla güvenliği ihlal edilmiş e-posta hesaplarını kullandı. ZIP dosyasının açılması sonunda, 2011’den beri bilinen ve ek kötü amaçlı yazılım yükleyen ve bilgi hırsızlığı için eklentilere sahip büyük bir Truva atı ailesi olan SmokeLoader kötü amaçlı yazılımının indirilmesine ve çalıştırılmasına yol açtı (bkz:: Ukraynalı CERT, Yeni SmokeLoader Kampanyası Hakkında Uyardı).

Casusluk için RAT kullanan diğer tehdit gruplarının aksine, UAC-0006 olarak izlenen ZIP dosyalarını kullanan tehdit aktörü finansal amaçlara sahiptir ve genellikle muhasebeciler tarafından kullanılan bilgisayarları hedefler. CERT-UA, yetkisiz ödemeler oluşturmak için bankacılık sistemlerine ve kimlik bilgilerine erişim aradığını söyledi.