Mandiant kısa bir süre önce, Ukrayna devlet kurumlarına yönelik hedefli bir saldırıda, truva atı haline getirilmiş ISO dosyalarının tehdit aktörleri tarafından, ağlarını ele geçirmenin ilk adımı olarak yasal Windows 10 yükleyicileri gibi görünen kötü amaçlı programları gizlemek için kullanıldığını tespit etti.
Kötü amaçlı yükleyiciler, aşağıdakiler de dahil olmak üzere çok çeşitli kötü amaçlı etkinlikler gerçekleştirebilecek kötü amaçlı yazılımlar dağıtıyor: –
- Veri toplamak amacıyla güvenliği ihlal edilmiş bilgisayarları izleme
- Ek kötü amaçlı araçların konuşlandırılması
- Saldırganlar tarafından kontrol edilen sunuculara veri hırsızlığı
Trojanlı Windows 10 Yükleyici
Kampanyanın parçası olan bir ISO, Ukrayna torrent izleyicisi “toloka”da barındırıldı.[.]Bu kampanyada teslim edilen bir kullanıcı tarafından Mayıs 2022’de oluşturulduğu tespit edildi.
Aşağıda, bu tür yeteneklerle önceden yapılandırılmış olarak geldiği için ISO dosyası tarafından devre dışı bırakılan Windows’un temel güvenlik özelliklerinden bahsetmiştik: –
- Güvenlik telemetrisini devre dışı bırak
- Otomatik güncellemeleri engelle
- Lisans doğrulamasını devre dışı bırak
İzinsiz girişlerin nedenleri söz konusu olduğunda, bunların mali olduğuna dair hiçbir gösterge yoktur. Herhangi bir iz olmadığı için: –
- Paraya çevrilebilir bilgilerin çalınması
- Fidye yazılımı dağıtımı
- Kripto madencilerin konuşlandırılması
Mandiant güvenlik ekibi ayrıca, Ukrayna Hükümeti ağlarında virüs bulaştığı tespit edilen birden fazla cihazı analiz ederken, PowerShell aracılığıyla yürütülmek üzere hazırlanan komutları almak üzere Temmuz 2022’nin ortalarında ayarlanmış birkaç planlanmış görev de keşfetti.
İlk keşif sonucunda, analistler ayrıca aşağıdakiler gibi ek yükler keşfettiler: –
- kaçak yolcu
- İŞARET
- YEDEK PARÇA
Bu tehdit etkinliği kümesi, kendisine atanan numara olan UNC4166 olarak Mandiant tarafından izleniyor. Savaşın başlangıcında, UNC4166’nın hedef kuruluşları, bölgedeki diğer kuruluşları hedef alan silicilerle GRU ile ilgili kümelerin hedef aldığı kuruluşlarla örtüştü.
Yıkıcı silici saldırılarıyla geniş çapta tanınan Rus devlet destekli bir aktör olan APT28, daha önce yıkıcı silme saldırılarının hedefi olan ve bunlarla herhangi bir bağlantı kuramayan kuruluşlara izinsiz giriş yapmakla suçlanıyor.
Ayrıca, en az 2004 yılından beri Rus GRU istihbarat servisi adına APT28 operasyonu düzenlenmektedir.
Ukrayna hükümeti ve askeri kuruluşlar, Rusya’nın Ukrayna’yı işgalinin başlamasından bu yana Google, Microsoft ve Ukrayna’nın CERT’si tarafından APT28 operasyonları olarak işaretlenen çok sayıda kimlik avı kampanyasının hedefi oldu.
Güvenli Web Ağ Geçidi – Web Filtresi Kuralları, Etkinlik İzleme ve Kötü Amaçlı Yazılımdan Koruma – Ücretsiz E-Kitap İndirin