Şüpheli Beyaz Rusya Hacker Grubu Ukrayna’yı Hedef Aldı; Suç Geçişi ‘Olağandışı’
Mathew J. Schwartz (euroinfosec) •
8 Haziran 2023
Güvenlik araştırmacılarının Belarus hükümetinin çıkarlarıyla uyumlu olduğunu söylediği bir bilgisayar korsanlığı grubu, siber suçla siber casusluğu karıştırıyor gibi görünüyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Güvenlik şirketi Eset, kötü amaçlı yazılım araştırmacısı Matthieu Faou tarafından yazılan yeni bir raporda, Asylum Ambuscade olarak bilinen grubun 2020’den beri “bir yandan siber casusluk yapan bir siber suç grubu” olduğunu söyledi. “Özel siber casusluk operasyonları yürüten bir siber suç grubunu yakalamak oldukça sıra dışı.”
Siber suç cephesinde grup, büyük ölçüde Kuzey Amerika ve Avrupa’daki bireysel bankacılık müşterilerini, kripto para tüccarlarını ve küçük ve orta ölçekli işletmeleri hedefliyor ve Eset’in 4.500’den fazla kurbanı var.
Eset, “Kripto para tüccarlarını hedefleme hedefi oldukça açık olsa da – kripto para birimini çalmak – Asylum Ambuscade’in KOBİ’lere erişimini nasıl paraya çevirdiğinden emin değiliz” dedi. Bunun gerçekten gerçekleştiğine dair hiçbir işaret görmemiş olsa da, “Grubun, örneğin fidye yazılımı dağıtabilecek diğer suç yazılımı gruplarına erişimi satması mümkündür”.
Eset, casusluk için grubun büyük ölçüde Avrupa ve Orta Asya hedeflerine odaklandığını söyledi.
Grubun adı, Rusya’nın 24 Şubat 2022’de Ukrayna işgalini yoğunlaştırmasından sonraki günlerde grubu ve faaliyetlerini ilk kez alenen ortaya çıkaran Proofpoint – pusu, pusu demenin eski bir yolu – tarafından icat edildi.
Proofpoint, “Ukrayna’dan kaçan mültecilerin lojistiğini yönetmeye dahil olan Avrupa hükümet personelini” hedef alan ve Ukrayna silahlı kuvvetlerinin bir mensubunun meşru bir e-posta hesabını kullandığı anlaşılan bir kimlik avı kampanyası tespit etti.
Kimlik avı kampanyasının, Ukrayna’nın CERT-UA bilgisayar acil durum müdahale ekibinin yanı sıra bir uyarı ülkenin Devlet Özel İletişim ve Bilgi Koruma Servisi’nden, her ikisi de 25 Şubat 2022’de yayınlandı.
CERT-UA’nın uyarısı, “Ukrayna askeri personeli ve ilgili kişilerin özel ‘i.ua’ ve ‘meta.ua’ hesaplarını hedef alan toplu kimlik avı e-postaları gözlemlendi.” “Hesap ele geçirildikten sonra, saldırganlar IMAP protokolü aracılığıyla tüm mesajlara erişir. Daha sonra saldırganlar, kimlik avı e-postaları göndermek için kurbanın adres defterindeki iletişim bilgilerini kullanır.”
CERT-UA saldırıları, Rusya müttefiki Beyaz Rusya Savunma Bakanlığı’ndaki memurlar tarafından yürütüldüğünü söylediği UNC1151’e bağladı. Proofpoint, grubu TA445’in bir parçası olarak izlediğini söylerken, Mandiant’ın tehdit istihbarat ekibi UNC1151’i Ghostwriter kod adıyla bilgi operasyonları kampanyalarına bağladı. Secureworks, saldırıların Moonscape olarak izlediği kampanyalarla bağlantılı göründüğünü söylüyor.
Kasım 2021’de Google’dan Mandiant, UNC1151’in Belarus tarafından yönetildiğini bildirdi. Grubun faaliyetlerinin büyük ölçüde Ukrayna, Litvanya, Letonya, Polonya ve Almanya’ya odaklandığını ve “hedefin Belaruslu muhalifleri, medya kuruluşlarını ve gazetecileri de kapsadığını” söyledi. Mandiant, “UNC1151 veya Ghostwriter’a Rusya’nın katkılarını göz ardı edemeyeceğini”, ancak “bu tür katkılara ilişkin doğrudan kanıtları ortaya çıkarmadığını” da sözlerine ekledi.
Ismarlama Takım?
Güvenlik araştırmacıları, en az 2020’den beri Asylum Ambuscade’in büyük ölçüde aynı araç setini kullanmaya devam ettiğini söylüyor. Eset, “Grubun implantlarının çoğu, AutoHotkey, JavaScript, Lua, Python ve VBS gibi betik dillerinde geliştirildi” diyor. Grup ayrıca, güvenlik araçları tarafından algılanmalarını önlemek için başka dillerde yazılmış bu araçların türevlerini de geliştirdi.
İmplantlar arasında, Lua betiği kullanılarak yazılmış bir birinci aşama indirici olan SunSeed’in yanı sıra, keylogging, ekran kaydı ve uzaktan kumanda dahil olmak üzere çeşitli eklentilerin ek işlevsellik eklediği AutoHotkey – diğer adıyla AHK – ile yazılmış ikinci aşama bir indirici olan AHK Bot yer alır. -kabuk yetenekleri – itilebilir.
Eset, SunSeed ve AHK Bot’un siber suç siteleri aracılığıyla satılmadığını veya dağıtılmadığını ve kullanıma hazır siber suç araçlarından daha az işlevsel olduğunu söyledi. Sonuç olarak, Asylum Ambuscade bu araçları vahşi doğada kullanan tek grup olabilir, ancak Eset bunu kesin olarak doğrulayamayacağını söyledi.
AHK Bot, Check Point ve Trend Micro tarafından açıklanan, 2019’da mali düzenlemeleri gözetleyerek hükümet yetkililerini hedef alan bir kampanya da dahil olmak üzere diğer saldırılarda kullanıldı. Dolayısıyla bu saldırılar İltica Ambuscade tarafından gerçekleştirilmiş olabilir.
Aralık 2022’de Trend Micro, AHK Bot’un ABD ve Kanada bankalarının müşterilerini hedef alan bir kimlik bilgisi çalma kampanyasında nasıl kullanıldığını ayrıntılarıyla açıkladı. Saldırılar, AHK Bot’u oluşturan “bir AHK komut dosyası derleyici yürütülebilir dosyasını” içeren kötü amaçlı bir Microsoft Excel dosyasıyla başladı.
Mart ayında Proofpoint, Ekim 2022’den beri AHK Bot’un yanı sıra “maddi amaçlarla, büyük ölçüde Amerika Birleşik Devletleri ve Almanya’daki kuruluşları hedef alan” kullanıma hazır Rhadamanthys Stealer’ı kullandığını bildiren devam eden bir kampanyayı bildirdi. casusluk da bir amaç olabilir.
En azından şimdilik Proofpoint, saldırıları TA866 kod adlı yeni bir saldırgana atfediyor ve “araçların birden fazla aktör tarafından kullanılma olasılığının tamamen göz ardı edilemeyeceği” uyarısında bulunuyor.