Ünlü hacker grubu APT28, aldatıcı araba satış reklamları aracılığıyla HeadLace kötü amaçlı yazılımını dağıtmak için karmaşık bir kampanya başlattı. Mart 2024’te başlayan bu yeni taktik, kötü niyetli niyetlerini gizlemek için sahte araba reklamlarından yararlanarak diplomatları hedef alıyor.
APT28, Fighting Ursa, Fancy Bear veya Sofacy olarak da bilinir, Rus askeri istihbaratıyla bağlantılı önde gelen bir gelişmiş sürekli tehdit (APT) grubudur. Bu grubun kötü amaçlı yazılımları iletmek için ayrıntılı kimlik avı planları kullanma konusunda uzun bir geçmişi vardır ve son kampanyaları da benzer bir örüntüyü takip eder.
Aldatıcı Araba Reklam Kampanyası HeadLace Kötü Amaçlı Yazılım Saldırısına Yol Açtı
Aldatıcı araba reklam kampanyası, siber suçlular için temel bir taktik haline gelen lüks arabalar için sahte reklamlar etrafında dönüyor. Bu örnekte, APT28 yem olarak bir Audi Q7 Quattro SUV için sahte bir reklam kullandı. Reklam, diplomatlara hitap etmek için tasarlanmıştı ve kurbanları kötü amaçlı bağlantılara tıklamaya ikna etmek için meşru bir araba satışı kisvesi kullanılıyordu.
Palo Alto Networks’teki tehdit istihbarat ekibi Unit 42, APT28’in saldırılarını gerçekleştirmek için kamuya açık ve ücretsiz hizmetleri kullandığını ortaya çıkardı. Kötü amaçlı bağlantı, genellikle geliştirme projeleri için rastgele URL’ler oluşturmak için kullanılan bir hizmet olan Webhook.site’da barındırılıyordu. Bu meşru hizmeti kullanarak, bilgisayar korsanları anında şüphe uyandırmadan kötü amaçlı bir HTML belgesi dağıtabildiler.
HTML dosyası, kurbanın sisteminde Windows çalışıp çalışmadığını belirlemek için otomatik bir kontrolle başlayarak çok aşamalı bir enfeksiyon sürecini yürütmek üzere tasarlanmıştı.
Sistem Windows dışı olarak tanımlandıysa, HTML kullanıcıyı başka bir ücretsiz hizmet olan ImgBB’de barındırılan bir sahte görüntüye yönlendiriyordu. Windows kullanıcıları için dosya, kötü amaçlı yazılım içeren bir ZIP arşivinin indirilmesini başlatıyordu.
HeadLace Kötü Amaçlı Yazılım Saldırısının İncelenmesi
“IMG-387470302099.zip” etiketli ZIP dosyası üç dosya içeriyordu: bir görüntü olarak gizlenmiş bir yürütülebilir dosya, bir DLL kitaplığı ve bir toplu iş dosyası. “IMG-387470302099.jpg.exe” adlı gizlenmiş yürütülebilir dosya zararsız bir görüntü gibi görünüyordu ancak aslında Windows hesap makinesi programının bir kopyasını içeriyordu.
Bu dosya, HeadLace arka kapı kötü amaçlı yazılımının bir parçası olan “WindowsCodecs.dll” DLL kitaplığını yan yüklemek için kullanıldı.
HeadLace, aşamalar halinde yürütülebilme özelliğiyle bilinen modüler ve karmaşık bir kötü amaçlı yazılım biçimidir. Bu headLace kötü amaçlı yazılım saldırısındaki DLL dosyası, “zqtxmo.bat” adlı bir toplu dosyayı yürütmek üzere tasarlanmış bir işlev içeriyordu. Bu toplu dosya, başka bir Webhook.site URL’sinden ek içerik indirerek, bunu kurbanın program veri dizinine kaydederek ve yürüterek kötü amaçlı yazılımın dağıtımını daha da kolaylaştırdı.
Kampanya Fighting Ursa’ya orta ila yüksek düzeyde bir güven ile atfedildi. Grubun kötü amaçlı öğeleri barındırmak için kamu hizmetlerini kullanması, daha önce belgelenen taktikleriyle uyumludur. Webhook.site ve ImgBB gibi ücretsiz hizmetlere güvenmeleri, siber suçlular arasında kötü niyetli amaçlar için meşru platformları istismar etme yönündeki daha geniş bir eğilimi yansıtan saldırı stratejilerinin bir ticari markasıdır.
Araştırmacının analizi, geçmiş APT28 kampanyalarıyla tutarlı bir davranış örüntüsüne işaret ediyor. Grubun başarılı taktikleri yeniden kullanma yöntemi (sahte araba reklamları kullanmak gibi) saldırılarının etkinliğini zaman içinde sürdürmeye yönelik stratejik yaklaşımlarını gösteriyor.
Önceki Örnekler ve Azaltma Stratejileri
2023’te, bir diğer Rus tehdit grubu olan Cloaked Ursa, Ukrayna’daki diplomatik misyonları hedef alan sahte bir BMW reklamıyla benzer bir yaklaşım kullandı. APT28’in mevcut kampanyasıyla doğrudan bağlantılı olmasa da, taktiklerdeki benzerlik, Rus tehdit aktörleri arasında kötü amaçlı yazılım sunmak için aldatıcı reklamları kullanma konusunda devam eden bir eğilimi vurguluyor.
Kuruluşlar, siber suçlular tarafından yaygın olarak kullanılan kamusal ve ücretsiz hizmetlerin kullanımını inceleyerek bu tür saldırılara karşı savunmalarını artırabilirler. Bu platformlara erişimi kısıtlamak veya kullanımlarını daha yakından izlemek, olası tehditleri belirlemeye ve azaltmaya yardımcı olabilir.
APT28 grubunun HeadLace kötü amaçlı yazılımını dağıtmak için sahte araba reklamları kullandığı son kampanyası, siber tehditlerin karmaşık doğasını vurguluyor. Kötü amaçlı yüklerini barındırmak için meşru hizmetleri kullanarak Fighting Ursa, diplomatlar gibi yüksek profilli kurbanları hedeflemedeki yeteneklerini ve ısrarlarını göstermeye devam ediyor.
Siber tehditler daha da ilerledikçe, kuruluşlar ve bireyler bu tür aldatıcı saldırılara karşı korunmak için uyanık kalmalı ve güçlü güvenlik önlemleri uygulamalıdır. Dikkat, sağlam güvenlik uygulamaları ve proaktif izlemenin birleşimi, APT28 gibi tehdit aktörlerinin kullandığı taktiklere karşı savunmada esastır.