Finansal motivasyona sahip UAC-0006 kuruluşu, çok sayıda agresif kimlik avı girişiminde, SMOKELOADER kötü amaçlı yazılımını dağıtmak için ZIP ve RAR eklerini kullanarak Ukrayna’yı yoğun bir şekilde hedef aldı.
En son saldırılar, açıldığında RMS ve TALESHOT gibi ele geçirilen sistemlere silah haline getirilmiş kötü amaçlı yazılım yükleyen Microsoft Access dosyalarını ve ZIP arşivlerini taşıyan e-postaları içeriyor.
Ukrayna hükümetinin bilgisayar acil müdahale ekibi CERT-UA, finansal motivasyona sahip UAC-0006 grubunun bu dikkate değer aktivasyonunu gözlemledi.
UAC-0006 İçin Son Faaliyetlere Genel Bakış
CERT-UA raporlarına göre saldırganlar, 21 Mayıs 2024 itibarıyla SMOKELOADER kötü amaçlı yazılımını yaymak için en az iki saldırı başlattı.
ANYRUN malware sandbox’s 8th Birthday Special Offer: Grab 6 Months of Free Service
SmokeLoader kötü amaçlı yazılımı çoğunlukla Windows tabanlı cihazları etkiler. SmokeLoader, bilgisayara bulaştıktan sonra bilgisayara başka kötü amaçlı yazılımlar (fidye yazılımı, kripto madencileri veya şifre çalanlar gibi) yüklemeye çalışır.
Ayrıca dosyaları bozabilir, gizli bilgileri çalabilir ve başka sorunlar yaratabilir.
Son saldırılar, aşağıdakileri içerebilecek ZIP arşivine sahip e-postaları içermektedir:
- .IMG dosyası EXE dosyalarını içerir.
- EXE dosyasını indirip başlatmak için PowerShell komutunun çalıştırılmasını garanti eden makrolara sahip Microsoft Access (ACCDB) belgeleri.
Daha önce olduğu gibi başarılı olan bir ana saldırının ardından RMS, TALESHOT ve diğer kötü amaçlı uygulamalar makineye yüklenir.
Şu anda bot ağında güvenliği ihlal edilmiş yüzlerce bilgisayar var. CERT-UA, yakın zamanda uzak bankacılık sistemleri yoluyla dolandırıcılık olaylarında bir artış olacağını öngörüyor.
Öneri
Bu nedenle şirket yöneticilerinin, otomatik muhasebe çalışma alanlarının güvenliğinin bir an önce artırılması gerektiğini dikkate almaları önerilir.
Bu, önerilen uzlaşma işaretlerinin gözden geçirilmesi ve uygun politikaların ve koruma mekanizmalarının kullanılmasının sağlanması yoluyla yapılabilir.
SOC Prime Platformu, savunmacıların en son CERT-UA bildiriminde ayrıntıları verilen UAC-0006 düşman faaliyetiyle ilgili saldırıları önlemelerine yardımcı olmak için seçilmiş ve test edilmiş tespit algoritmaları sağlar.
Free Webinar on Live API Attack Simulation: Book Your Seat | Start protecting your APIs from hackers