Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), ülkedeki 2.000’den fazla bilgisayara DirtyMoe adı verilen bir kötü amaçlı yazılım türünün bulaştığı konusunda uyardı.
Ajans, kampanyayı, adını verdiği bir tehdit aktörüne bağladı UAC-0027.
En az 2016’dan beri aktif olan DirtyMoe, kripto hırsızlığı ve dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirme kapasitesine sahiptir. Mart 2022’de siber güvenlik firması Avast, kötü amaçlı yazılımın bilinen güvenlik kusurlarından yararlanarak solucan benzeri bir şekilde yayılma yeteneğini ortaya çıkardı.
DDoS botnet’inin, Purple Fox adı verilen başka bir kötü amaçlı yazılım aracılığıyla veya Telegram gibi popüler yazılımlar için sahte MSI yükleme paketleri aracılığıyla dağıtıldığı biliniyor. Purple Fox ayrıca, tehdit aktörlerinin makinedeki kötü amaçlı yazılımı gizlemesine ve tespit edilip kaldırılmasını zorlaştırmasına olanak tanıyan bir rootkit ile donatılmıştır.
Ukrayna’yı hedefleyen kampanyada kullanılan tam başlangıç erişim vektörü şu anda bilinmiyor. CERT-UA, kuruluşların sistemlerini güncel tutmasını, ağ bölümlendirmesini zorunlu kılmasını ve herhangi bir anormal etkinlik açısından ağ trafiğini izlemesini öneriyor.
Açıklama, Securonix’in, SUBTLE-PAWS adı verilen özel bir PowerShell arka kapısı sunmak amacıyla Ukrayna askeri personelini hedef alan STEADY#URSA olarak bilinen devam eden bir kimlik avı kampanyasını ayrıntılarıyla açıklamasının ardından geldi.
Güvenlik araştırmacıları Den Iuzvyk, Tim, “Kötüye kullanım zinciri nispeten basit: hedefin, yeni bir PowerShell arka kapı yük kodunu (aynı arşivde bulunan başka bir dosyanın içinde bulunur) yükleyen ve çalıştıran kötü amaçlı bir kısayol (.lnk) dosyasını çalıştırmasını içeriyor.” Peck ve Oleg Kolesnikov söyledi.
Saldırının, Aqua Blizzard (eski adıyla Actinium), Armageddon, Gamaredon, Iron Tilden, Primitive Bear, Trident Ursa, UNC530 ve Winterflounder olarak da bilinen Shuckworm olarak bilinen bir tehdit aktörüyle ilişkili olduğu söyleniyor. En az 2013’ten beri aktif olan bu birimin Rusya Federal Güvenlik Servisi’nin (FSB) bir parçası olduğu değerlendiriliyor.
SUBTLE-PAWS, ana makinede kalıcılık ayarlamanın yanı sıra, komuta ve kontrol (C2) bilgilerini almak için Telegram’ın Telegraph adlı blog platformunu kullanıyor; bu teknik, daha önce 2023’ün başlarından bu yana düşmanla ilişkili olduğu tanımlanmış bir tekniktir ve yayılabilir. çıkarılabilir bağlı sürücüler.
Gamaredon’un USB sürücüler aracılığıyla yayılma yeteneği, Kasım 2023’te PowerShell tabanlı USB solucanına LitterDrifter adını veren Check Point tarafından da belgelendi.
Araştırmacılar, “SUBTLE-PAWS arka kapısı, kötü amaçlı yükleri dinamik olarak yürütmek için gelişmiş teknikler kullanıyor” dedi.
“Geleneksel dosya tabanlı algılama yöntemlerinden kaçınmaya yardımcı olabilecek yürütülebilir PowerShell kodunu Windows Kayıt Defteri’nden saklıyor ve alıyorlar. Bu yaklaşım aynı zamanda, kötü amaçlı yazılım yeniden başlatmalar veya diğer kesintilerden sonra kendini yeniden başlatabildiğinden, virüslü sistemde kalıcılığın korunmasına da yardımcı oluyor.”