Salı günü Ukrayna’nın Bilgisayar Acil Müdahale Ekibi (CERT-UA), UAC-0173 olarak izlediği organize bir suç grubundan yenilenmiş faaliyet konusunda DCRAT (Darkcrystal Rat) adlı uzaktan erişim Truva atı ile enfekte olmayı içeren yenilenmiş faaliyetleri uyardı.
Ukrayna Siber Güvenlik Otoritesi, Ocak ayı ortalarında başlayan son saldırı dalgasını gözlemlediğini söyledi. Etkinlik, Ukrayna’nın noterini hedeflemek için tasarlandı.
Enfeksiyon zinciri, Ukrayna Adalet Bakanlığı adına gönderildiğini iddia eden kimlik avı e -postalarından yararlanır ve alıcıları, başlatıldığında DCRAT kötü amaçlı yazılımların konuşlandırılmasına yol açan bir yürütülebilir dosyayı indirmeye çağırır. İkili, Cloudflare’nin R2 bulut depolama hizmetinde barındırılmaktadır.
“Noterin otomatik işyerine birincil erişim sağlayan saldırganlar, özellikle delik kullanımı ile birlikte paralel RDP oturumlarının işlevselliğini uygulayan RDPWrapper, ek araçlar kurmak için önlemler alıyor. İnternetten doğrudan bilgisayara RDP bağlantıları kurun. “Dedi.
Saldırılar ayrıca, devlet kayıtlarının web arayüzüne girilen kimlik doğrulama verilerini, ağ taraması için NMAP ve kimlik bilgileri ve pano içeriği gibi hassas verileri çalmak için Xworm gibi diğer araçların ve kötü amaçlı yazılım ailelerinin kullanımı ile karakterize edilir.
Ayrıca, tehlikeye atılan sistemler, saldırıları daha da yaymak için Sendmail konsolu yardımcı programını kullanarak kötü niyetli e -postalar hazırlamak ve göndermek için bir kanal olarak kullanılır.
Geliştirme, CERT-UA’nın Sandworm Hacking Grubu (AKA APT44, Seasshell Blizzard ve UAC-0002) içindeki bir alt kümeyi Microsoft Windows’taki (CVE-2024-38213, CVE-2024-38213,. CVSS Puanı: 6.5) 2024’ün ikinci yarısında bu booby tuzaklı belgeler yoluyla.
Saldırı zincirlerinin, bir tuzak dosyası görüntülemekten sorumlu PowerShell komutlarını yürüttüğü bulunurken, aynı anda ikinci en iyi (yani Empirepast), Spark ve Crookbag adlı bir Golang yükleyici de dahil olmak üzere arka planda ek yükler başlattı.
UAC-0212’ye atfedilen faaliyet, Temmuz 2024 ile Şubat 2025 arasında Sırbistan, Çek Cumhuriyeti ve Ukrayna’dan tedarikçi şirketleri hedef aldı ve bazıları otomatik süreç kontrol sistemlerinin geliştirilmesinde uzmanlaşmış iki düzineden fazla Ukrayna işletmesine karşı kaydedildi (ACST ), elektrik işleri ve yük taşımacılığı.
Bu saldırılardan bazıları, ikincisi takma Badpilot altındaki tehdit grubunu izleyen Festeready Labs ve Microsoft tarafından belgelenmiştir.