Daha önce bilinmeyen bir tehdit oyuncusu, Rusça konuşan varlıkları hedefleyen siber saldırılarında Kremlin ile uyumlu Gamaredon hackleme grubuyla ilişkili tradecraft’ı kopyaladığı gözlemlendi.
Kampanya, adlandırılan bir tehdit kümesine atfedildi Gamacopiçakışmaların çekirdek kurtadam adlı başka bir hack grubuyla paylaştığı değerlendirilen, aynı zamanda uyanık likho ve psödogamaredon olarak da izlendi.
Bilinç 4 404 İleri Tehdit İstihbarat Ekibi’ne göre, saldırılar askeri tesislerle ilgili içerikleri Ultravnc’yi düşürme lures olarak kullanıyor ve tehdit aktörlerinin tehlikeye atılan ev sahiplerine uzaktan erişmesine izin veriyor.
Şirket, geçen hafta yayınlanan bir raporda, “Bu örgütün TTP’si (taktikler, teknikler ve prosedürler), Ukrayna’ya karşı saldırılar yapan GameRon organizasyonunu taklit ediyor.” Dedi.
Kaspersky’nin Rus devlet kurumlarının ve sanayi kuruluşlarının çekirdek kurtadamın hedefi olduğunu açıklamasından yaklaşık dört ay sonra açıklama, mızrak aktı saldırıları Ultravnc yerine örhcentral platformunun yolunu açtı.
Saldırı zincirinin başlangıç noktası, Rus siber güvenlik şirketi tarafından detaylandırılan birini yansıtır ve burada 7-ZIP kullanılarak oluşturulan kendi kendini sürat eden (SFX) arşiv dosyası, gelecek aşama yükleri bırakmak için bir kanal görevi görür. Bu, bir tuzak PDF belgesi görüntülerken Ultravnc tesliminden sorumlu bir toplu komut dosyası içerir.
Ultravnc yürütülebilir dosyasına, Microsoft OneDrive ile ilişkili bir ikili olarak geçerek tespitten kaçınma çabasıyla “onedrivers.exe” adı verilir.
Bilinsec 404, etkinliğin, Ultravnc, sunucuya bağlanmak için 443 numaralı bağlantı noktasını ve enableArayEdexPansion komutunun kullanılması için 7Z-SFX dosyalarını kullanma ve yürütmek için 7Z-SFX dosyalarını kullanma da dahil olmak üzere çeşitli benzerlikleri paylaştığını söyledi.
Şirket, “Bu organizasyon maruziyetinden bu yana, Garararon organizasyonu tarafından kullanılan TTP’leri sık sık taklit etti ve halkı karıştırırken kendi hedeflerine ulaşmak için bir kalkan olarak akıllıca kullanılan açık kaynaklı araçlar.” Dedi.
Gamacopy, Rus-Ukrayna Savaşı’nın ardından yapışkan kurtadam (aka Phaseshifters), Venture Wolf ve Paper Wurtwolf gibi Rus örgütlerini hedefleyen birçok tehdit aktöründen biridir.
Pozitif Teknolojiler ‘Irina Zinovkina, “Faseshifters, Psödogamaredon ve Fluffy Wolf gibi gruplar, veri hırsızlığına yönelik amansız kimlik avı kampanyaları için öne çıkıyor.” Dedi.