Saldırganlar, Avrupa ve Kafkasya bölgesindeki devlet kurumlarını hedef almak için ele geçirilen yönlendiricileri kötü amaçlı altyapı olarak kullanmaya devam ediyor.
Ukrayna hükümetinin bilgisayar acil durum ve olay müdahale ekibine (CERT-UA) göre, bu kötü niyetli casusluk çabasının arkasında APT28 tehdit aktörleri (Sofacy, Fancy Bear vb. olarak da bilinir) vardı.
Kötü amaçlı kampanya, kullanıcıları uzaktaki bir HTML sayfasını ziyaret etmeleri ve bir Windows kısayolu açmaları için kandırarak, kimlik bilgileri çalan aracı (STEELHOOK), uzaktan yürütme araçlarını (MASEPIE, OCEANMAP) ve kamuya açık bir keşif ve kimlik bilgileri toplama aracını (Impacket) dağıtmak için hedef odaklı kimlik avı kullandı. ).
HarfangLab, Cyber Security News ile yaptığı paylaşımda “Bu kampanyada kullanılan kötü amaçlı altyapının büyük ölçüde (ve büyük olasılıkla büyük olasılıkla) meşru güvenliği ihlal edilmiş Ubiquiti ağ cihazlarından oluşturulduğuna büyük bir güvenle inanıyoruz” dedi.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Saldırı Nasıl Gerçekleştirilir?
Tehdit aktörü, önceden saldırıya uğramış e-posta hesaplarını kullanarak belirlenen kişilere kimlik avı e-postaları gönderdi. Kimlik avı e-postalarındaki bağlantılar, hedefleri bulanık bir ön izleme göstererek bir belgeyi görüntülemek için bir düğmeyi tıklatmaya yönlendiren kötü amaçlı web sayfalarına yol açtı.
Bu tür kötü amaçlı sitelerden elde edilebilecek belgelerdeki görsellerde şu başlıklar gösteriliyordu:
- Azerbaycan Savunma Bakanlığı Resmi Bilgisi;
- Ukrayna’daki Tatiller ve Kutlamalar 2024;
- KFP.311.152.2023 (“Pañstwowe Gospodarstwo Wodne Wody Polskie”, Polonya ulusal su idaresinden);
- “Ukrayna’nın Eğitim ve Bilim Stratejisine ilişkin uzman çalışma gruplarının önerileri” (Ukraynaca’da, yaklaşık olarak “Ukrayna’nın eğitim ve bilim stratejisine ilişkin uzman çalışma grubunun önerileri” olarak tercüme edilebilir).
Kimlik avı e-postasındaki ve açılış sayfasındaki bir bağlantıya tıklandıktan sonra hedeflere meşru bir Windows Gezgini penceresi gösterildi. Bu pencere genellikle belge olarak gizlenen bir LNK dosyası içeriyordu (belge simgesi ve çift uzantı kullanılarak).
Hedef, görüntülenen LNK’ye tıklarsa, kötü amaçlı bir yük komut dosyası (MASEPIE) ve bir Python yorumlayıcısı indirip çalıştırarak sahte bir belge görüntülüyor.
MASEPIE adı verilen kötü amaçlı bir Python betiği, güvenliği ihlal edilmiş sistemlerle temel uzaktan komut yürütmeye ve dosya paylaşımına olanak tanır. İlk olarak enfeksiyon zincirindeki kötü niyetli bir LNK’nin tıklanmasıyla başlatılır.
ONCEANMAP, e-postayı C2 kanalı olarak kullanan kötü amaçlı bir C#.NET programıdır. Hedeflenen bilgisayarlarda uzaktan komut yürütülmesine olanak sağlar. Araştırmacılar OCEANMAP ile söz konusu kampanya arasında bir bağlantı kuramıyor. Bu nedenle buna benzer bir ikili dosyanın, MASEPIE enfeksiyonunun ikinci aşaması olarak kullanıldığına inanılıyor.
Ubiquiti ağ cihazlarının ters proxy’ler, komut ve kontrol sunucuları ve enfeksiyon dosyalarını düzenlemek için kötü amaçlı altyapı olarak kullanıldığı keşfedildi.
Araştırmacılar, bu kampanyanın Rusya’nın daha ileri hedeflerine yönelik yürütüldüğüne orta ila yüksek düzeyde güvenle karar verirken, devlet dışı ve/veya Rus olmayan grupların hâlâ görevde olabileceği sonucuna varıyor.