Google’ın Tehdit Analiz Grubu’ndaki (TAG) araştırmacılar, Coldriver adını verdikleri bir grup hakkındaki bulgularını yayınladılar. Coldriver grubunun ana hedefleri sivil toplum kuruluşlarındaki (STK’lar) yüksek profilli kişiler, eski istihbarat ve askeri yetkililer ve NATO hükümetleridir. Hedef odaklı kimlik avı saldırılarında bu hedeflere yaklaşılır.
Grup, hedeflerini belgeleri açmaya veya kötü amaçlı yazılım indirmeye ikna etmek için sosyal mühendislik tekniklerini kullanıyor. Faaliyetleri Rus hükümetinin faaliyetleriyle uyumludur, dolayısıyla Coldriver’ın devlet destekli bir grup olduğunu söylemek oldukça doğru olur.
Aralık 2023’te ABD, bu grubun üyesi olduğuna inanılan iki Rus’u, hükümet hesaplarını hackleyen bir kampanyadaki rolleri nedeniyle suçladı.
Grubu Star Blizzard olarak takip eden Microsoft, grubun uluslararası ilişkiler, savunma ve Ukrayna’ya lojistik destek sağlayan kişi ve kuruluşların yanı sıra akademi, bilgi güvenliği şirketleri ve Rus devletinin çıkarlarıyla uyumlu diğer kuruluşları hedef aldığını söylüyor.
Tipik olarak grup, hedefin ilgi duyabileceği bir alanda uzmanmış gibi davranan veya hedefle bir şekilde bağlantılı olan bir kimliğe bürünme hesabı oluşturur. Bir ilişki kurulduğunda hedef, bir kimlik avı bağlantısı veya bu tür bir bağlantıyı içeren bir belge alacaktır.
Coldriver, güven kazanmak amacıyla hedefinin profilini oluşturmak için sosyal medyayı ve profesyonel pazarlama sistemlerini kullanıyor. Grup, bu bilgilerle hedefin çıkarlarıyla uyumlu ve meşru görünen e-posta kişileri, sosyal medya ve diğer ağ hesaplarını oluşturuyor.
Coldriver, ilk yaklaşımda Outlook, Gmail, Yahoo ve Proton Mail dahil olmak üzere farklı sağlayıcıların web posta adreslerini kullanarak hedefin bilinen kişilerini veya hedefin ilgi alanı veya sektöründeki tanınmış isimleri taklit eder. Grubun ayrıca meşru kuruluşları taklit eden kötü amaçlı alan adlarını kaydettirdiği de biliniyor.
Son zamanlarda TAG, grubun hedefin sistemine bir arka kapı kurmak için “cezbedici belgeler” kullandığını fark etti. Zararsız PDF dosyaları olan bu yem belgeleri hedefe gönderiliyor ancak açıldığında içerik şifrelenmiş gibi görünüyor.
Hedef şifreleme hakkında soru sorduğunda Coldriver, hedefe genellikle bir bulut depolama sitesinde barındırılan bir şifre çözme yardımcı programına bir bağlantı gönderir. Bu şifre çözme yardımcı programı, hedefe normal bir PDF dosyası gösterir, böylece orijinalin şifresi çözülmüş gibi görünür, ancak aynı zamanda bir arka kapı da yükler.
Bu arka kapı, muhtemelen Coldriver tarafından veya Coldriver için geliştirilen ve Spica adı verilen özel bir kötü amaçlı yazılımdır. Spica, Rust programlama dilinde yazılmıştır ve diğerlerinin yanı sıra şu komutları destekler:
- Rastgele kabuk komutlarını yürütün
- Chrome, Firefox, Opera ve Edge’den çerezleri çalmak
- Dosyaları yükleme ve indirme
- İçeriği listeleyerek dosya sistemini analiz edin
- Belgeleri numaralandırın ve bir arşive kopyalayın
Arka kapı, CalendarChecker adında zamanlanmış bir görev oluşturan karmaşık bir PowerShell komutu aracılığıyla kalıcılık sağlar.
TAG şüpheleniyor ancak Spica’nın birden fazla çeşidinin olduğunu doğrulayamıyor: hedeflere gönderilen her yem belgesiyle eşleşen bir tane.
ÇOCUKLAR kural
YARA, belirli koşulları karşılayan dosyaları tanımlayabilen bir araçtır. Esas olarak güvenlik araştırmacıları tarafından kötü amaçlı yazılımları sınıflandırmak için kullanılıyor.
TAG, taksinin Spica arka kapısını bulmasına yardımcı olacak bir YARA kuralı oluşturdu.
kural SPICA__Strings {
meta:
yazar = “Google ETİKETİ”
açıklama = “C2 ve gömülü tuzak PDF için websocket’leri kullanan Rust arka kapısı”
karma = “37c52481711631a5c73a6341bd8bea302ad57f02199db7624b580058547fb5a9”
Teller:
$s1 = “os_win.c:%d: (%lu) %s(%s) – %s”
$s2 = “winWrite1”
$s3 = “winWrite2”
$s4 = “DNS çözünürlüğü panikledi”
$s5 = “Dox’u yapılandır”
$s6 = “Telgrafı yapılandır”
$s8 = “yapısal İndir”
$s9 = “başak”
$s10 = “Değeri ayarladıktan sonra alt anahtar açılamadı.”
$s11 = “Kart Sahibi: Boğa Gaytleri”
$s12 = “Kart Numarası: 7/ 3310 0195 4865”
$s13 = “CVV: 592”
$s14 = “Kartın Süresi Doldu: 03/28”
$a0 = “aracı\\src\\archive.rs”
$a1 = “aracı\\src\\main.rs”
$a2 = “aracı\\src\\utils.rs”
$a3 = “aracı\\src\\komut\\dox.rs”
$a4 = “aracı\\src\\komut\\shell.rs”
$a5 = “aracı\\src\\komut\\telegram.rs”
$a6 = “aracı\\src\\komut\\mod.rs”
$a7 = “aracı\\src\\komut\\mod.rs”
$a8 = “aracı\\src\\komut\\çerez\\mod.rs”
$a9 = “aracı\\src\\komut\\çerez\\tarayıcı\\mod.rs”
$a10 = “aracı\\src\\komut\\çerez\\tarayıcı\\tarayıcı_adı.rs”
durum:
7 / ($s*) veya 5 / ($a*)
}
İş çözümlerimiz fidye yazılımının tüm kalıntılarını ortadan kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.