CERT-UA, Ukrayna’ya Yönelik SmokeLoader ve RoarBAT Kötü Amaçlı Yazılım Saldırılarına Karşı Uyarıda Bulundu


08 Mayıs 2023Ravie LakshmananSiber Saldırı / Veri Güvenliği

Duman Yükleyici

Ukrayna Bilgisayar Acil Durum Müdahale Ekibine (CERT-UA) göre, SmokeLoader kötü amaçlı yazılımını çok dilli bir dosya biçiminde dağıtmak için fatura temalı yemlerle devam eden bir kimlik avı kampanyası kullanılıyor.

Ajansa göre e-postalar, güvenliği ihlal edilmiş hesaplar kullanılarak gönderilir ve gerçekte bir sahte belge ve bir JavaScript dosyası içeren çok dilli bir dosya olan bir ZIP arşiviyle birlikte gelir.

JavaScript kodu daha sonra, SmokeLoader kötü amaçlı yazılımının yürütülmesini sağlayan bir yürütülebilir dosyayı başlatmak için kullanılır. İlk olarak 2011’de tespit edilen SmokeLoader, asıl amacı virüslü sistemlere daha gizli veya daha etkili bir kötü amaçlı yazılım indirmek veya yüklemek olan bir yükleyicidir.

CERT-UA, etkinliği UAC-0006 olarak adlandırdığı bir tehdit aktörüne bağladı ve bunu kimlik bilgilerini çalmak ve yetkisiz fon transferleri yapmak amacıyla gerçekleştirilen mali amaçlı bir operasyon olarak nitelendirdi.

Siber güvenlik

İlgili bir danışma belgesinde, Ukrayna’nın siber güvenlik otoritesi, UAC-0165 olarak bilinen bir grup tarafından kamu sektörü kuruluşlarına karşı düzenlenen yıkıcı saldırıların ayrıntılarını da ortaya çıkardı.

İsimsiz bir devlet kuruluşunu hedef alan saldırı, belirli bir uzantı listesine sahip dosyalar için yinelemeli arama gerçekleştiren ve meşru WinRAR yardımcı programını kullanarak bunları geri alınamaz bir şekilde silen, RoarBAT adlı yeni bir toplu komut dosyası tabanlı silecek kötü amaçlı yazılımın kullanılmasını gerektirdi.

Bu da, tanımlanan dosyaların “-df” komut satırı seçeneği kullanılarak arşivlenmesi ve ardından oluşturulan arşivlerin temizlenmesiyle sağlandı. Toplu komut dosyası, zamanlanmış bir görev aracılığıyla yürütüldü.

RoarBAT Kötü Amaçlı Yazılımı

Eşzamanlı olarak, Linux sistemlerinin güvenliği, güvenlik yazılımı tarafından tespit edilmekten etkili bir şekilde kaçınarak sıfır bayt ile dosyaların üzerine yazmak için dd yardımcı programından yararlanan bir bash betiği kullanılarak ele geçirildi.

CERT-UA, “Uygun yazılım kullanımı ile gerçekleştirilen yıkıcı etki sonucu elektronik bilgisayarların (sunucu ekipmanları, otomatik kullanıcı iş yerleri, veri depolama sistemleri) çalışabilirliğinin bozulduğu tespit edilmiştir.”

“Saldırının ICS hedefine erişimin, güvenliği ihlal edilmiş kimlik doğrulama verileri kullanılarak bir VPN’ye bağlanılarak elde edildiği iddia ediliyor. Saldırının başarılı bir şekilde uygulanması, VPN’ye uzak bağlantılar yapılırken çok faktörlü kimlik doğrulamanın olmamasıyla kolaylaştırıldı.”

YAKLAŞAN WEBİNAR

Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin

Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.

Koltuğumu Kurtar!

Ajans ayrıca UAC-0165’i orta derecede bir güvenle, geçen yıl Rus-Ukrayna savaşının başlamasından bu yana silici saldırıları başlatma geçmişi olan kötü şöhretli Sandworm grubuna (diğer adıyla FROZENBARENTS, Seashell Blizzard veya Voodoo Bear) bağladı.

Sandworm ile olan bağlantı, Ocak 2023’te Ukrayna devlet haber ajansı Ukrinform’u vuran ve hasım topluluğa bağlı olan başka bir yıkıcı saldırı ile önemli örtüşmelerden kaynaklanıyor.

Uyarılar, CERT-UA’nın Rus devlet destekli grup APT28 tarafından sahte Pencere güncelleme bildirimleriyle ülkedeki devlet kurumlarını hedef alan kimlik avı saldırıları konusunda uyarmasından bir hafta sonra geldi.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin twitter ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link