Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), devlet kurumlarını, işletmelerini ve askeri kuruluşları hedef alan yeni bir kötü amaçlı e-posta kampanyasının ayrıntılarını açıkladı.
CERT-UA, “Mesajlar, Amazon veya Microsoft gibi popüler hizmetleri entegre etmenin ve sıfır güven mimarisini uygulamanın çekiciliğinden yararlanıyor.” dedi. “Bu e-postalar Uzak Masaüstü Protokolü (‘.rdp’) yapılandırma dosyaları biçiminde ekler içeriyor.”
RDP dosyaları yürütüldükten sonra uzak bir sunucuyla bağlantı kurarak tehdit aktörlerinin ele geçirilen ana bilgisayarlara uzaktan erişmesine, verileri çalmasına ve sonraki saldırılar için ek kötü amaçlı yazılım yerleştirmesine olanak tanır.
Faaliyet için altyapı hazırlığının en az Ağustos 2024’ten bu yana devam ettiğine inanılıyor ve ajans, bunun Ukrayna’dan çıkıp diğer ülkeleri hedef almasının muhtemel olduğunu belirtiyor.
CERT-UA, kampanyayı UAC-0215 olarak takip ettiği bir tehdit aktörüne bağladı. Amazon Web Service (AWS), kendi tavsiye belgesinde onu APT29 olarak bilinen Rus ulus-devlet bilgisayar korsanlığı grubuyla ilişkilendirdi.
Amazon’un baş bilgi sorumlusu CJ Moses, “Kullandıkları alan adlarından bazıları, etki alanlarının AWS alanları olduğuna inandırmak için hedefleri kandırmaya çalıştı (değillerdi), ancak hedef Amazon değildi ve AWS müşteri kimlik bilgilerini takip eden grup da değildi.” güvenlik görevlisi dedi. “Bunun yerine APT29, Microsoft Uzak Masaüstü aracılığıyla hedeflerinin Windows kimlik bilgilerini aradı.”
Teknoloji devi, düşmanın operasyonu etkisiz hale getirmek amacıyla AWS’yi taklit etmek için kullandığı alan adlarını da ele geçirdiğini söyledi. APT29 tarafından kullanılan bazı alan adları aşağıda listelenmiştir:
- ca-west-1.mfa-gov[.]bulut
- merkezi-2-aws.ua-aws[.]ordu
- us-east-2-aws.ua-gov[.]bulut
- aws-ukrayna.cloud
- aws-data.cloud
- aws-s3.cloud
- aws-il.cloud
- aws-join.cloud
- aws-meet.cloud
- aws-toplantılar.cloud
- aws-online.cloud
- aws-secure.cloud
- s3-aws[.]bulut
- s3-fbi[.]bulut
- s3-h[.]bulut ve
- s3-kanıt noktası[.]bulut
Bu gelişme, CERT-UA’nın Ukraynalı kullanıcıların gizli bilgilerini çalmayı amaçlayan büyük ölçekli bir siber saldırı konusunda da uyarıda bulunmasının ardından geldi. Tehdit UAC-0218 adı altında kataloglandı.
Saldırının başlangıç noktası, fatura veya ödeme ayrıntıları olduğu iddia edilen, bubi tuzaklı bir RAR arşivine bağlantı içeren bir kimlik avı e-postasıdır.
Arşivde, belirli uzantılarla eşleşen dosyaları (“xls”, “xlsx”, “doc”, “docx”, “pdf”, “txt”, “csv, ” “rtf”, “ods”, “odt”, “eml”, “pst”, “rar” ve “zip”) saldırganın kontrol ettiği bir sunucuya aktarın.
CERT-UA, “Bu şekilde suçlular kişisel, mali ve diğer hassas verilere erişebilir ve bunları şantaj veya hırsızlık için kullanabilir.” dedi.
Ayrıca CERT-UA, kullanıcıları e-posta mesajlarına gömülü kötü amaçlı bağlantılara yönlendirerek bir SSH tüneli kurabilen, web tarayıcılarından veri çalabilen ve Metasploit’i indirip başlatabilen bir PowerShell betiğini bırakmaları için kandırmak üzere tasarlanmış ClickFix tarzı bir kampanya konusunda uyardı. Sızma testi çerçevesi.
Bağlantıya tıklayan kullanıcılar, bir düğmeye tıklayarak kimliklerini doğrulamalarını isteyen sahte bir reCAPTCHA doğrulama sayfasına yönlendiriliyor. Bu eylem, kötü amaçlı PowerShell komut dosyasını (“Browser.ps1”) kullanıcının panosuna kopyalar ve Windows’taki Çalıştır iletişim kutusunu kullanarak komut dosyasının yürütülmesine yönelik talimatları içeren bir açılır pencere görüntüler.
CERT-UA, kampanyanın APT28 (diğer adıyla UAC-0001) olarak bilinen başka bir Rus gelişmiş kalıcı tehdit aktörünün işi olduğuna dair “ortalama düzeyde güvene” sahip olduğunu söyledi.
Ukrayna’ya yönelik siber saldırılar, Bloomberg’in Rusya’nın askeri istihbarat teşkilatı ve Federal Güvenlik Servisi’nin (FSB) 2017 ile 2020 yılları arasında gerçekleştirdiği bir dizi dijital saldırının parçası olarak Gürcistan’ın altyapısını ve hükümetini sistematik olarak nasıl hedef aldığını ayrıntılarıyla anlatan bir raporun ortasında gerçekleşti. Saldırılardan bazıları, Turla’ya bağlandı.