Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), ülkedeki savunma şirketlerinin yanı sıra güvenlik ve savunma güçlerini de hedef aldığını söylediği yeni bir dizi siber saldırı konusunda uyardı.
Kimlik avı saldırıları, Rusya bağlantılı bir tehdit aktörüne atfedildi. UAC-0185 (aka UNC4221), en az 2022’den beri aktiftir.
CERT-UA, “Kimlik avı e-postaları, Ukrayna Sanayiciler ve Girişimciler Birliği’nin resmi mesajlarını taklit etti” dedi. “E-postalar, yerli savunma sanayi şirketlerinin ürünlerini NATO standartlarıyla uyumlu hale getirmeyi amaçlayan 5 Aralık’ta Kiev’de düzenlenen bir konferansın reklamını yapıyordu.”
E-posta mesajları, alıcıları konferansa katılımlarıyla ilgili “önemli bilgileri” görüntülemek için bu URL’ye tıklamaya teşvik eden kötü amaçlı bir URL ile birlikte geliyor.
Ancak gerçekte bunu yapmak, açıldığında bir HTML Uygulamasını yürütmek üzere tasarlanmış bir Windows kısayol dosyasının indirilmesiyle sonuçlanır; bu dosya da sonraki aşamadaki verileri yükleme kapasitesine sahip PowerShell komutlarını çalıştırmaktan sorumlu JavaScript kodunu içerir. .
Buna bir tuzak dosyası ve bir toplu komut dosyası, başka bir HTML Uygulaması ve yürütülebilir bir dosya içeren bir ZIP arşivi dahildir. Son adımda, HTML Uygulama dosyasını çalıştırmak için toplu komut dosyası başlatılır ve bu dosya daha sonra ana makinede MeshAgent ikili dosyasını çalıştırarak saldırganlara ele geçirilen sistem üzerinde uzaktan kontrol sağlar.
CERT-UA, tehdit aktörünün öncelikli olarak Signal, Telegram ve WhatsApp gibi mesajlaşma uygulamaları ile DELTA, Teneta ve Kropyva gibi Ukrayna’nın askeri sistemleriyle ilişkili kimlik bilgilerini çalmaya odaklandığını söyledi.
Ajans, “Bilgisayar korsanları, savunma şirketlerinin çalışanlarının ve güvenlik ve savunma kuvvetleri temsilcilerinin bilgisayarlarına yetkisiz erişim sağlamak için bir dizi siber saldırı da başlattı” dedi.
UNC4221’i bu Eylül ayının başında düzenlenen SentinelLabs LABScon güvenlik konferansında ifşa eden Google’a ait Mandiant’a göre, tehdit aktörünün “Android kötü amaçlı yazılımları kullanarak savaş alanıyla ilgili verileri toplaması, Ukrayna askeri uygulamaları gibi görünen kimlik avı operasyonları ve Telegram ve WhatsApp gibi popüler mesajlaşma platformları.”