Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Ukraynalı Siber Savunucuları, Kimlik Avı Kampanyasına Yönelik Devlet Kurumunun Saldırılarının İzini Sürüyor
Sayın Mihir (MihirBagwe) •
29 Aralık 2023
Ukraynalı siber savunucular, hızlı hareket eden Rus askeri istihbarat korsanlarının, Ukrayna başbakan yardımcısından gelen sahte bir mektuba dayanarak, kimlik avı tuzaklarına bağlı arka kapı kötü amaçlı yazılımlarını kullanarak Polonya’daki devlet kurumlarının yanı sıra kuruluşları da hedef aldığını bildirdi.
Ayrıca bakınız: Savaş Sisi | Ukrayna Çatışması Siber Tehdit Ortamını Nasıl Dönüştürdü?
Ukrayna Bilgisayar Acil Durum Müdahale Ekibi Perşembe günü, Fancy Bear olarak da bilinen Rus gelişmiş kalıcı grubu APT28’e bağladığı bir hedef odaklı kimlik avı kampanyasını ayrıntılarıyla anlattı. Batılı istihbarat teşkilatları APT28’in Rusya’nın GRU askeri istihbarat teşkilatı tarafından yönetildiğini söyledi.
CERT-UA, APT28 kimlik avı kampanyasının 15 Aralık’tan 25 Aralık’a kadar sürdüğünü ve çok sayıda Ukrayna devlet kurumunun yanı sıra Polonya’daki bazı kuruluşları hedef aldığını söyledi. CERT-UA’nın uyarısının makine çevirisine göre, saldırı kampanyası “kötü amaçlı programlara sahip bilgisayarların zarar görmesine yol açtı”.
Ukrayna odaklı kimlik avı kampanyalarının sonuncusuna ilişkin haberler, yine bu ayın başlarında Ukrayna ve Polonya’daki kuruluşlara yönelik gerçekleştirilen benzer kimlik avı saldırıları serisinin hemen ardından geldi. CERT-UA, bu saldırıları UAC-0050 kod adını verdiği bir gruba bağladı (bkz.: Ukraynalı ve Polonyalı Yetkililer En Son Kimlik Avı Dalgası Hedefleri).
Araştırmacılar, bu tür saldırıların genellikle daha ciddi bir saldırının ilk aşaması olduğu konusunda uyarıyor. Güvenlik uzmanları, GRU korsanlarının Eylül ayında kritik bir enerji altyapısı tesisini hedef alan siber operasyonlara bağlandığını tespit etti. Savunmacılar, bir çalışanın saldırganların iki siteye erişimini engellemesinin ardından bu girişimin engellendiğini söyledi. mockbin.org Ve mocky.io – ve Windows Komut Dosyası Ana Bilgisayarını başlatma yetenekleri (bkz.: APT28 Spear-Phishes Ukrayna Kritik Enerji Tesisi).
En son tespit edilen APT28 kampanyası, alıcıları Ukrayna başbakan yardımcısından gelen önemli bir belgeye yönlendirdiği iddia edilen bir bağlantıya tıklamaya teşvik eden kimlik avı e-postalarını içeriyordu. CERT-UA, bağlantının kurbanları JavaScript içeren bir saldırıya maruz bıraktığını ve bunun yanı sıra sahte bir belgeyi indirmek ve açmak için PowerShell komutunu çalıştırmak üzere tasarlanmış bir Windows kısayol dosyasının yanı sıra Python programlama dili yorumlayıcısını ve Masepie adlı kötü amaçlı bir Python dosyasını indirdiğini söyledi. .
Masepie, Windows Kayıt Defterini değiştirerek ve yanıltıcı bir şekilde adlandırılmış bir LNK dosyası ekleyerek virüs bulaşmış cihazın kalıcılığını sağlayan bir arka kapıdır. SystemUpdate.lnk – CERT-UA, Windows Başlangıç klasörüne dedi. Kötü amaçlı yazılımın birincil işlevi, virüslü cihaza ek kötü amaçlı yazılım yükleri indirmek ve uç noktada depolanan verileri dışarı çıkarmak gibi görünüyor.
Savunmacılar, arka kapının, verileri bilgisayar korsanlarının komuta ve kontrol sunucusuna iletmeden önce şifrelemek için AES-128-CBC algoritmasını kullandığını ve şifreleme anahtarının, kötü amaçlı yazılım ilk kez bağlantı kurduğunda oluşturulan 16 rastgele bayttan oluşan bir dizi olduğunu buldu. bilgisayar korsanlarının C2 sunucusuyla.
Kampanyada APT28 ayrıca bilgi hırsızı olarak işlev gören ve saldırıya uğramış sistemlerdeki web tarayıcılarından, muhtemelen oturum açma kimlik bilgileri, kimlik doğrulama çerezleri ve tarama geçmişi, CERT-UA gibi hassas bilgiler de dahil olmak üzere verileri çıkarabilen SteelHook adlı bir PowerShell betiği kullanıyor. söz konusu.
Kampanyada kullanılan bir diğer araç da OceanMap adı verilen ve base64 kodlu komutları çalıştırabilen bir C# arka kapısıdır. cmd.exe CERT-UA, APT28’in 2020’den bu yana saldırılarında bir uç noktaya kalıcı, uzaktan erişim sağlamak için kullandığını söyledi. OceanMap, eski İnternet Mesaj Erişim Protokolünü bir kontrol kanalı olarak kullanıyor; bu kanal üzerinden komutları alıyor ve şüpheyi önlemek için bunları komutu, kullanıcı adını ve işletim sistemi sürümünü içeren e-posta taslakları olarak saklıyor. CERT-UA, bir komutu çalıştırdıktan sonra OceanMap’in sonuçları gelen kutusu dizininde sakladığını ve APT28’in saldırıyı gizlice takip etmesini ve gerektiğinde stratejisini ayarlamasını sağladığını söyledi.
Ukraynalı siber savunucular, Rus askeri istihbarat korsanlarının bir uç noktaya erişim sağladıktan sonra hızlı bir şekilde hareket ettiğini ve genellikle ilk uzlaşmanın ardından bir saat veya daha kısa sürede başka kötü amaçlı araçlar dağıttıklarını söyledi.