Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), ülkedeki bir bilimsel araştırma kurumunu hedef alan HATVIBE ve CHERRYSPY adlı kötü amaçlı yazılımlarla hedef alan bir kimlik avı kampanyası konusunda uyarıda bulundu.
Kurum, saldırıyı UAC-0063 adı altında takip ettiği ve daha önce çeşitli hükümet kurumlarını hedef alarak tuş kaydediciler ve arka kapılar kullanarak hassas bilgileri topladığı gözlemlenen bir tehdit aktörüne bağladı.
Saldırı, kuruluştaki bir çalışana ait ele geçirilmiş bir e-posta hesabının kullanılması ve makro içerikli Microsoft Word (DOCX) eki içeren kimlik avı mesajlarının “düzinelerce” alıcıya gönderilmesiyle karakterize ediliyor.
Belgenin açılması ve makroların etkinleştirilmesi, zamanlanmış bir görev kullanarak ana bilgisayarda kalıcılığı ayarlayan ve uzak bir sunucu tarafından verilen komutları çalıştırabilen CHERRYSPY kod adlı bir Python arka kapısına giden yolu açan HATVIBE adlı kodlanmış bir HTML Uygulamasının (HTA) yürütülmesiyle sonuçlanır.
CERT-UA, HTTP Dosya Sunucusunda (CVE-2024-23692, CVSS puanı: 9,8) ilk erişim için bilinen bir güvenlik açığından yararlanan “çok sayıda” HATVIBE enfeksiyonu vakası tespit ettiğini söyledi.
UAC-0063, orta düzeyde güvenle APT28 olarak adlandırılan Rusya bağlantılı bir ulus-devlet grubuyla ilişkilendirilmiştir. BlueDelta, Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy ve TA422 olarak da adlandırılan APT28, Rusya’nın stratejik askeri istihbarat birimi GRU ile bağlantılıdır.
Gelişme, CERT-UA’nın Ukraynalı savunma şirketlerini hedef alan, tıklandığında çalıştırılabilir bir dosya (diğer adıyla GLUEEGG) indiren bir bağlantı içeren tuzaklı PDF dosyalarıyla bir başka kimlik avı saldırısını ayrıntılarıyla açıklamasının ardından geldi. Bu dosya, DROPCLUE adlı Lua tabanlı bir yükleyiciyi şifresini çözüp çalıştırmaktan sorumludur.
DROPCLUE, curl yardımcı programını kullanarak Atera Agent adlı meşru bir Uzak Masaüstü programını gizlice indirirken kurbana bir sahte belge açmak için tasarlanmıştır. Saldırı, UAC-0180 olarak izlenen bir kümeye bağlanmıştır.