CERT-UA, Ukrayna devlet kurumlarının hükümet bilgi sistemlerine yönelik bir siber saldırı tespit etti ve ele aldı.
Araştırma sonucunda, bakanlığın e-posta adresinin 18 Nisan 2023 ve 20 Nisan 2023 tarihlerinde, Tacikistan Büyükelçiliği’nin (Ukrayna’da) gerçek e-posta hesabından geldiği anlaşılan iletişimler aldığı keşfedildi.
Silahlandırılmış DOCX Dosyası
Büyükelçiliğin güvenliği ihlal edilmiş halinin bir sonucu olduğundan şüphelenilen bu e-postalar, ilk olayda bir makro içeren, sonraki olayda ise aynı belgeye atıfta bulunan bir belge biçimindeki bir ekten oluşuyordu.
Belge indirildiğinde ve makrosu etkinleştirildiğinde, “WsSwapAssessmentTask” makrosu ile başka bir dosya oluşturan bir makro ile “SvcRestartTaskLogon” adlı bir DOCX dosyası oluşturur ve açar.
Ayrıca, ek dosyaları yükleyip çalıştırabilen HATVIBE olarak kategorize edilen bir “SoftwareProtectionPlatform” dosyası içerir.
Teknik inceleme sırasında, 25 Nisan 2023’te, belirsiz koşullar altında muhtemelen HATVIBE tarafından kolaylaştırılan bilgisayarda ek programların üretildiği belgelendi.
Aşağıda, bu ek oluşturulan uygulamalardan bahsetmiştik: –
- LOGPIE keylogger
- CHERRYSPY arka kapısı
Dosyalar Python ile oluşturulur ve PyArmor ile korunurken, şifreleme ve kod gizleme sağlayan “pytransform” modülü Themida ile daha fazla korunur.
STILLARCH kötü amaçlı yazılımı, LOGPIE keylogger’dan gelen veriler de dahil olmak üzere, aşağıdaki gibi dosya uzantılarına sahip dosyaları aramak ve dışarı sızdırmak için kullanılır: –
Altyapının ve ilgili verilerin daha ayrıntılı analizi, grubun hedeflerinin, 2021’den beri izlenen UAC-0063 kod adı altında casusluk faaliyetlerinde bulunan çeşitli ülkelerden kuruluşları içerdiğini belirledi.
Güvenlik açığı kapsamını en aza indirmek için, kullanıcı hesaplarının “mshta.exe”, Windows Komut Dosyası Sistemi (“wscript.exe”, “cscript.exe”) ve Python yorumlayıcısını yürütmesinin sınırlandırılması ve böylece olası saldırı yüzeyinin azaltılması önerilir.
Cihaz Duruş Güvenliği ile Kimlik Avı Saldırılarını Durdurun – Ücretsiz E-Kitap İndirin