Ukrayna’nın bilgisayar acil müdahale ekibi (CERT-UA), hassas verileri çalmak amacıyla ülkedeki devlet yönetim organlarına ve kritik altyapı tesislerine karşı üçten az siber saldırı kaydedildiğini ortaya koymuştur.
Ajans, kampanyanın, DropMefiles ve Google Drive gibi meşru hizmetlere işaret eden bağlantılar içeren kimlik avı mesajları göndermek için tehlikeye atılmış e -posta hesaplarının kullanımını içerdiğini söyledi. Bazı durumlarda, bağlantılar PDF eklerine gömülür.
Dijital misyonlar, bir Ukrayna hükümet ajansının maaş kesmeyi planladığını ve alıcıyı etkilenen çalışanların listesini görüntülemek için bağlantıyı tıklamaya çağırarak yanlış bir aciliyet duygusu yaratmaya çalıştı.
Bu bağlantıları ziyaret etmek, belirli bir uzantılar kümesiyle eşleşen ve ekran görüntülerini yakalayan dosyaları hasat edebilen bir PowerShell komut dosyası getirmek ve yürütmek için tasarlanmış bir Visual Basic Script (VBS) yükleyicisinin indirilmesine yol açar.
UAC-0219 olarak izlenen bir tehdit kümesine atfedilen etkinliğin, en azından 2024 sonbaharından bu yana devam ettiği söyleniyor, EXE ikili dosyaları, bir VBS stealer ve hedeflerini gerçekleştirmek için Irfanview adlı meşru bir görüntü editörü yazılımı kullanan erken yinelemelerle.
CERT-UA, VBS Loader ve PowerShell kötü amaçlı yazılımını takma Worksteel’i verdi. Saldırılar hiçbir ülkeye atfedilmemiştir.
Geliştirme, Kaspersky’nin Head Mare olarak bilinen tehdit aktörünün, operatör tarafından bir komut ve kontrol (C2) sunucusu üzerinden verilen talimatları işleme yeteneğine sahip olan birkaç Rus kuruluşunu, meshagent gibi ek yükleri indirip çalıştırmayı ve çalıştırabileceği konusunda uyardı.
Rus enerji şirketleri, endüstriyel işletmeler ve elektronik bileşen kuruluşlarının tedarikçileri ve geliştiricileri de, enfekte ana bilgisayarlardan dosyaları ve görüntüleri sifonlamak için tasarlanmış bir VBS truva atı bırakan bir Treats oyuncusu tarafından monte edilen bir tehdit oyuncusu tarafından monte edilen kimlik avı saldırılarının sonunda olmuştur.
Geçen ayın sonlarında, Seqrite Labs, Rusya’daki akademik, hükümet, havacılık ve savunma ile ilgili ağların, Hollowquill Operasyonu olarak adlandırılan bir kampanyanın bir parçası olarak, muhtemelen kimlik avı e-postaları aracılığıyla gönderilen silahlı tuzak belgeleri tarafından hedeflendiğini açıkladı. Saldırıların Aralık 2024’te başladığına inanılıyor.
Etkinlik, sosyal mühendislik arazilerini kullanıyor, kötü amaçlı yazılımları bağlayan PDF’leri, şüphesiz kullanıcıları saldırı zincirini tetiklemeye ikna etmek için araştırma davetiyeleri ve hükümet tebrikleri olarak gizliyor.
Güvenlik araştırmacısı Subhajeet Singha, “Tehdit varlığı, meşru onedrive uygulaması ve son kobalt grev yükü ile tuzak tabanlı bir PDF ile birlikte Golang tabanlı bir kabuk kodu yükleyicisini daha da düşüren bir .NET kötü amaçlı yazılım damlası içeren kötü niyetli bir RAR dosyası sunuyor.” Dedi.