Rus hükümeti ve BT kuruluşları, kod adı “Spyware” olan bir kimlik avı kampanyasının parçası olarak çok sayıda arka kapı ve Truva atı sunan yeni bir kampanyanın hedefi haline geldi. Doğu Rüzgârı.
Saldırı zincirleri, açıldığında enfeksiyon dizisini etkinleştiren ve GrewApacha gibi kötü amaçlı yazılımların dağıtımıyla sonuçlanan bir Windows kısayolu (LNK) dosyası içeren RAR arşiv eklerinin kullanılmasıyla karakterize ediliyor; CloudSorcerer arka kapısının güncellenmiş bir versiyonu ve daha önce belgelenmemiş bir implant olan PlugY.
Rus siber güvenlik şirketi Kaspersky, PlugY’nin “CloudSorcerer arka kapısından indirildiğini, kapsamlı bir komut setine sahip olduğunu ve komuta-kontrol sunucusuyla iletişim kurmak için üç farklı protokolü desteklediğini” söyledi.
İlk enfeksiyon vektörü, kötü amaçlı bir DLL dosyasını başlatmak için DLL yan yükleme tekniklerini kullanan, keşif komutlarını yürütmek ve ek yükler indirmek için bir iletişim mekanizması olarak Dropbox’ı kullanan tuzaklı bir LNK dosyasına dayanır.
DLL kullanılarak dağıtılan kötü amaçlı yazılımlar arasında, daha önce Çin bağlantılı APT31 grubuyla bağlantısı olan bilinen bir arka kapı olan GrewApacha da yer alıyor. DLL yan yüklemesi kullanılarak başlatılan bu kötü amaçlı yazılım, gerçek C2 sunucusunun Base64 kodlu dizesini depolamak için bir dead drop çözücüsü olarak saldırgan tarafından kontrol edilen bir GitHub profilini kullanıyor.
Öte yandan CloudSorcerer, Microsoft Graph, Yandex Cloud ve Dropbox bulut altyapısı üzerinden gizli izleme, veri toplama ve sızdırma için kullanılan sofistike bir siber casusluk aracıdır. GrewApacha’da olduğu gibi, güncellenmiş varyant, başlangıçta C2 sunucusu olarak LiveJournal ve Quora gibi meşru platformları kullanır.
Kaspersky, “CloudSorcerer’ın önceki sürümlerinde olduğu gibi, profil biyografileri bulut hizmetiyle etkileşim kurmak için şifrelenmiş bir kimlik doğrulama belirteci içeriyor” dedi.
Ayrıca, çalışma zamanında Windows GetTickCount() fonksiyonundan türetilen benzersiz bir anahtar kullanılarak kötü amaçlı yazılımın yalnızca kurbanın bilgisayarında patlatılmasını sağlayan şifreleme tabanlı bir koruma mekanizması kullanır.
Saldırılarda gözlemlenen üçüncü kötü amaçlı yazılım ailesi ise, TCP, UDP veya adlandırılmış kanalları kullanarak bir yönetim sunucusuna bağlanan ve kabuk komutlarını yürütme, cihaz ekranını izleme, tuş vuruşlarını kaydetme ve panodaki içeriği yakalama yeteneklerine sahip olan tam özellikli bir arka kapı olan PlugY’dir.
Kaspersky, PlugX’in kaynak kodu analizinde, APT27 ve APT41 olarak izlenen Çin bağlantılı tehdit kümelerine atfedilen DRBControl (diğer adıyla Clambling) adlı bilinen bir arka kapı ile benzerlikler ortaya çıkardığını söyledi.
Şirketten yapılan açıklamada, “EastWind kampanyasının arkasındaki saldırganlar, komut sunucuları olarak popüler ağ servislerini kullandılar: GitHub, Dropbox, Quora’nın yanı sıra Rus LiveJournal ve Yandex Disk”
Kaspersky ayrıca Rusya’daki gaz tedarikiyle ilgili meşru bir siteyi ele geçirerek CMoon adlı bir solucanı dağıtmayı içeren bir watering hole saldırısının ayrıntılarını da verdi. Bu solucan, gizli ve ödeme verilerini toplayabiliyor, ekran görüntüleri alabiliyor, ek kötü amaçlı yazılımlar indirebiliyor ve ilgi duyulan hedeflere yönelik dağıtılmış hizmet engelleme (DDoS) saldırıları başlatabiliyor.
Kötü amaçlı yazılım ayrıca çeşitli web tarayıcılarından, kripto para cüzdanlarından, anlık mesajlaşma uygulamalarından, SSH istemcilerinden, FTP yazılımlarından, video kayıt ve yayın uygulamalarından, kimlik doğrulayıcılardan, uzak masaüstü araçlarından ve VPN’lerden dosya ve veri topluyor.
“CMoon, veri hırsızlığı ve uzaktan kontrol için geniş işlevselliğe sahip . NET’te yazılmış bir solucandır,” dedi. “Yüklemeden hemen sonra, yürütülebilir dosya bağlı USB sürücülerini izlemeye başlar. Bu, saldırganların ilgisini çekebilecek dosyaları çıkarılabilir medyadan çalmanıza ve bunlara bir solucan kopyalayıp sürücünün kullanılacağı diğer bilgisayarlara bulaştırmanıza olanak tanır.”