Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), bilinmeyen tehdit aktörlerinin AnyDesk bağlantı istekleri göndererek siber güvenlik kurumunu taklit etmeye yönelik devam eden girişimleri konusunda uyarıyor.
CERT-UA, AnyDesk taleplerinin “güvenlik düzeyini” değerlendirmek üzere bir denetim yürütmek için olduğunu iddia ederek kuruluşların kullanıcı güvenini suiistimal etmeye çalışan bu tür sosyal mühendislik girişimlerine karşı dikkatli olmaları konusunda uyardı.
CERT-UA, “CERT-UA’nın belirli koşullar altında AnyDesk gibi uzaktan erişim yazılımlarını kullanabileceğini unutmamak önemlidir.” dedi. “Ancak, bu tür eylemler yalnızca siber savunma nesnelerinin sahipleriyle resmi olarak onaylanmış iletişim kanalları aracılığıyla önceden anlaşmaya varıldıktan sonra gerçekleştirilir.”
Ancak bu saldırının başarılı olabilmesi için hedefin bilgisayarında AnyDesk uzaktan erişim yazılımının kurulu ve çalışır durumda olması gerekiyor. Ayrıca saldırganın hedefin AnyDesk tanımlayıcısına sahip olmasını da gerektirir, bu da saldırganın ilk önce diğer yöntemlerle tanımlayıcıyı elde etmesi gerekebileceğini düşündürür.
Bu saldırıların oluşturduğu riski azaltmak için, uzaktan erişim programlarının yalnızca kullanımları süresince etkinleştirilmesi ve uzaktan erişimin resmi iletişim kanalları aracılığıyla koordine edilmesi önemlidir.
Kampanyayla ilgili haberler, Ukrayna Devlet Özel İletişim ve Bilgi Koruma Servisi’nin (SSSCIP), siber ajansın olay müdahale merkezinin 2024 yılında 1.042’den fazla olay tespit ettiğini ve tüm olayların %75’inden fazlasını kötü amaçlı kod ve izinsiz giriş çabalarının oluşturduğunu ortaya çıkarmasıyla geldi.
SSSCIP, “2024 yılında en aktif siber tehdit kümeleri, siber casusluk, finansal hırsızlık ve bilgi-psikolojik operasyonlarda uzmanlaşmış UAC-0010, UAC-0050 ve UAC-0006 oldu.” dedi.
Aqua Blizzard ve Gamaredon olarak da bilinen UAC-0010’un 277 olayın arkasında olduğu tahmin ediliyor. UAC-0050 ve UAC-0006’nın sırasıyla 99 ve 174 olayla bağlantılı olduğu tespit edildi.
Bu gelişme aynı zamanda, geçen yıl Ukrayna’yı hedef alan farklı kampanyaları birbirine bağlayarak, GhostWriter (aka TA445, UAC-0057 ve UNC1151) olarak bilinen Rusya yanlısı bilgisayar korsanlığı grubuyla ilişkili olması muhtemel, daha önce bildirilmemiş 24 .shop üst düzey alan adının keşfedilmesini de takip ediyor.
Güvenlik araştırmacısı Will Thomas (@BushidoToken) tarafından gerçekleştirilen bir analiz, bu kampanyalarda kullanılan alan adlarının aynı genel üst düzey alan adını (gTLD), PublicDomainsRegistry kayıt şirketini ve Cloudflare ad sunucularını kullandığını buldu. Tanımlanan tüm sunucularda ayrıca yapılandırılmış bir robots.txt dizini bulunur.
Rusya-Ukrayna savaşı üçüncü yılının sonuna yaklaşırken, hassas verileri çalmak ve fidye yazılımı kullanarak iş operasyonlarını aksatmak amacıyla Rusya’ya yönelik siber saldırılar da kaydedildi.
Geçen hafta siber güvenlik şirketi FACCT, Yapışkan Kurtadam aktörünü, virüs bulaşmış Windows sistemlerine uzaktan erişim sağlama kapasitesine sahip, Ozon olarak bilinen bir uzaktan erişim truva atı sunmak amacıyla Rus araştırma ve üretim şirketlerine yönelik bir hedef odaklı kimlik avı kampanyasıyla ilişkilendirmişti.
Ayrıca Yapışkan Kurtadam’ı, esas olarak Rusya’daki devlet kurumlarını, araştırma enstitülerini ve endüstriyel işletmeleri öne çıkaran Ukrayna yanlısı bir siber casus grubu olarak tanımladı. Ancak İsrailli siber güvenlik şirketi Morphisec’in daha önceki bir analizi, bu bağlantının “belirsiz kaldığına” dikkat çekti.
Bu saldırıların ne kadar başarılı olduğu bilinmiyor. Son aylarda Rus varlıklarını hedef aldığı gözlemlenen diğer tehdit faaliyeti kümelerinden bazıları arasında Core Werewolf, Venture Wolf ve Paper Werewolf (aka GOFFEE) yer alıyor; bunların sonuncusu, kimlik bilgisi hırsızlığını kolaylaştırmak için Owowa adlı kötü amaçlı bir IIS modülünden yararlanıyor.