Ukrayna’nın Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), Gamaredon korsanlığının hızlı saldırılar düzenleyerek ihlal edilen sistemlerden verileri bir saatin altında çaldığı konusunda uyarıda bulunuyor.
Gamaredon, diğer adıyla Armageddon, UAC-0010 ve Shuckworm, onları FSB’ye (Rus Federal Güvenlik Servisi) bağlayan ve Rusya’ya sığınan eski SSU subayları olan üyeleri olan siber güvenlik araştırmacıları ile Rus, devlet destekli bir siber casusluk grubudur. 2014 yılında
Rus işgalinin başlamasından bu yana, tehdit aktörlerinin Ukrayna’da hükümete ve diğer kritik kamu ve özel kuruluşlara yönelik binlerce saldırıdan sorumlu olduğuna inanılıyor.
Bu saldırılardan elde edilen verilerin toplanması, CERT-UA’nın, savunucuların ağ sızma girişimlerini tespit edip durdurmasına yardımcı olmak için paylaştığı grubun saldırılarını özetlemesini sağladı.
Gamaredon saldırı özellikleri
Gamaredon saldırıları genellikle Telegram, WhatsApp, Signal veya diğer IM uygulamaları yoluyla hedeflere gönderilen bir e-posta veya mesajla başlar.
İlk bulaşma, kurbanı kandırarak Microsoft Word veya Excel belgeleri gibi görünen HTM, HTA ve LNK dosyaları gibi kötü amaçlı ekleri açması için gerçekleştirilir.
Kurban kötü amaçlı ekleri başlattığında, PowerShell betikleri ve kötü amaçlı yazılım (genellikle ‘GammaSteel’) indirilir ve kurbanın cihazında yürütülür.
İlk bulaşma adımı ayrıca Microsoft Office Word şablonlarını değiştirerek, virüslü bilgisayarda oluşturulan tüm belgelerin Gamaredon’un kötü amaçlı yazılımını diğer sistemlere yayabilecek kötü amaçlı bir makro taşımasını sağlar.
PowerShell betiği, bilgisayar korsanlarının iki faktörlü kimlik doğrulama ile korunan çevrimiçi hesapları ele geçirmesini sağlamak için oturum verilerini içeren tarayıcı tanımlama bilgilerini hedefler.
GammaSteel’in işlevselliği ile ilgili olarak CERT-UA, belirtilen uzantı listesine sahip dosyaları hedeflediğini söylüyor: .doc, .docx, .xls, .xlsx, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z, .mdb.
Saldırganlar, ihlal edilen bir bilgisayarda bulunan belgelerle ilgileniyorsa, bunları 30-50 dakika içinde sızdırırlar.
Gamaredon enfeksiyonlarının bir başka ilginç yönü de, tehdit aktörlerinin yeniden bulaşma olasılığını artırmak için güvenliği ihlal edilmiş sisteme haftada 120 adede kadar kötü amaçlı virüslü dosya yerleştirmesidir.
“Dezenfeksiyon işlemi sırasında, işletim sistemi kayıt defterini temizledikten, dosyaları, zamanlanmış görevleri vb. sildikten sonra bilgisayarda en az bir virüslü dosya veya belge kalırsa (kullanıcılar genellikle işletim sistemini yeniden yükler ve “gerekli” belgeleri kontrol etmeden aktarır) ), bu durumda bilgisayar muhtemelen yeniden virüslenecektir.” CERT-UA’yı (makine tercümesi) açıklar.
Virüs bulaşmış bir bilgisayarın bağlantı noktalarına takılan herhangi bir USB çubuğuna da otomatik olarak Gamaredon’un ilk tehlikeli yükleri bulaşacak ve potansiyel olarak izole ağlara yönelik ihlali ilerletecektir.
Son olarak, bilgisayar korsanları, ara kurban komuta ve kontrol sunucularının IP adreslerini günde üç ila altı kez değiştirerek savunucuların faaliyetlerini engellemesini veya izlemesini zorlaştırıyor.
Şu anda CERT-UA, Gamaredon saldırılarının etkinliğini sınırlamanın en iyi yolunun mshta.exe, wscript.exe, cscript.exe ve powershell.exe’nin yetkisiz yürütülmesini engellemek veya kısıtlamak olduğunu söylüyor.