Securonix Tehdit Araştırması, UAC-0154 olarak bilinen bir gruptan geldiği anlaşılan STARK#VORTEX adlı önemli bir saldırı buldu.
Bu kampanya özellikle Ukrayna ordusunu hedef alıyor ve insansız hava araçlarıyla ilgili tuzakları içeren kurnaz bir taktikten yararlanıyor.
Drone’ların Ukrayna’nın askeri operasyonlarında önemli bir rol oynaması, onları kötü niyetli aktörler için çekici bir konu haline getiriyor.
UAC-0154’ün arkasındaki saldırganlar, başlangıçta @ukr.net üzerinden Ukraynalı hedeflere e-posta yoluyla gönderilen askeri temalı belgeleri kullandı.
Ancak taktikleri gelişti ve artık MerlinAgent kötü amaçlı yazılımını yeni bir yaklaşım kullanarak dağıtmaya yöneldiler.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
İşte Saldırı Zincirinin Dağılımı:
Yem Dosyası – Aldatıcı dosya, genellikle .chm dosyası olarak bilinen bir Microsoft Yardım dosyası olarak gizlenmiştir. Spesifik olarak, “Ordu için İHA eğitimi hakkında bilgi.v2.2.chm” başlığını taşıyordu ve bu da “ordu için İHA eğitimi hakkında bilgi” anlamına geliyordu.
Kullanıcı bu belgeyi açtığında, belgenin içine yerleştirilmiş kötü amaçlı bir JavaScript kodunu tetikler.
Karmaşık PowerShell – .chm dosyasındaki JavaScript kodu, gizlenmiş bir ikili veriyi indirmek için uzak Komuta ve Kontrol (C2) sunucusuyla iletişim kurar.
Yük Aktivasyonu – Bu veri, kodu çözüldükten sonra MerlinAgent kötü amaçlı yazılımı için bir işaret yükü haline gelir, C2 sunucusuyla iletişim kurar ve saldırganlara tam kontrol sağlar.
Saldırı zinciri basit görünebilir ancak tehdit aktörleri, her aşamada tespit edilmekten kaçınmak için karmaşık taktikler ve gizleme yöntemleri kullandı.
İlk Kod Yürütme – Microsoft Yardım dosyaları, daha eski bir format olmasına rağmen, modern Windows sistemlerinde hala yürütülebilmektedir.
Bu durumda .chm dosyası, antivirüs ve EDR algılamalarını atlayarak PowerShell işlemini başlattı.
Yardım Dosyası ve JavaScript Yürütme – Bu dosyalar konteyner görevi gördü ve içerikleri analiz edilerek, başka bir gizlenmiş PowerShell betiği çalıştıran gizlenmiş JavaScript kodu ortaya çıkarıldı.
PowerShell Yürütme – PowerShell kodu, Base64 kodlaması, GZIP sıkıştırması ve karakter değiştirmeleri de dahil olmak üzere çok sayıda gizleme katmanını içeriyordu. Veriyi belirli bir URL’den indirdi, gizliliğini kaldırdı ve yerel olarak kaydetti.
İkili Dosya Analizi – Yaklaşık 5 MB boyutunda indirilen ikili dosyanın, GitHub’da bulunan açık kaynaklı bir komut ve kontrol (C2) çerçevesi olan MerlinAgent çerçevesiyle ilişkili 64 bitlik bir yürütülebilir dosya olduğu ortaya çıktı.
Bu çerçeve, şifreli C2 iletişimi, uzaktan komut kabukları, modül desteği ve daha fazlasını içeren çeşitli yetenekler sunar.
C2 ve Altyapı – Saldırganlar, C2 sunucularıyla 443 numaralı bağlantı noktası üzerinden şifreli iletişim kurarak tespit edilmesini zorlaştırdı.
Bu yüksek hedefli saldırı kampanyası Ukrayna ordusuna odaklandı. Savunmaları kolayca aşabilecek dosya ve belgelerin kullanılması ve saldırganların akıllıca çerçeveleme yapması, dikkatli olunması gerektiğinin altını çiziyor.
Securonix, güvenilmeyen kaynaklardan dosya indirmekten kaçınmak, şüpheli etkinlikler için belirli dizinleri izlemek ve gelişmiş algılama kapsamı için gelişmiş günlük kaydı çözümlerinin dağıtılması da dahil olmak üzere çeşitli hafifletme önlemleri önerir.
850’den fazla üçüncü taraf uygulamaya hızla yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.