Son zamanlarda yapılan bir vahiy, son derece sofistike bir siber-karşıt kampanyası, dublaj Operasyon İçi Oturumortaya çıktı.
Operasyon, Rusya’daki akademik, hükümet ve savunma ile ilgili ağları, kobalt grev kötü amaçlı yazılım implantları sunmak için silahlı tuzak PDF’leri kullanarak hedefliyor.
Kampanya, Rusya’nın askeri-sanayi kompleksine önemli bir katkıda bulunan Baltık State Teknik Üniversitesi (BSTU “Voenmakh”) gibi kritik kurumlara sızmaya odaklanıyor.
Teknik sömürü zinciri
Enfeksiyon zinciri, Rusya Bilim Bakanlığı ve Yükseköğretim Bakanlığı’ndan resmi araştırma davetiyeleri olarak gizlenmiş bir .NET tabanlı kötü amaçlı yazılım damlası içeren kötü niyetli bir RAR arşivi ile başlar.
Bu arşiv birden fazla bileşen içerir:
- Meşru bir onedrive yürütülebilir.
- Golang tabanlı bir kabuk kodu yükleyici.
- Hedeflenen varlıklar için bir cazibe görevi gören bir tuzak PDF belgesi.
Yürütme üzerine, .NET Droper, Shellcode yükleyicisini dağıtır, kötü amaçlı kod enjekte eder, onedrive işlemine enjekte eder ve şüphe önlemek için Decoy PDF’yi ortaya çıkarır.
Shellcode Loader, yükü bellekte gizlice yürütmek için APC enjeksiyonu gibi gelişmiş teknikler kullanır.
Decoy belge analizi
Decoy PDF, 2026-2028 bütçe döngüsü için devlet tarafından atanan araştırma projelerine ilişkin resmi iletişimi taklit ediyor.
Rusya’nın Bilimsel Araştırma ve Teknolojik Projeler için Birleşik Devlet Bilgi Sistemi’nde teklif sunmak için ayrıntılı yönergeler içerir (егисetim).
BSTU “Voenmakh” rektörü AE Shashurin de dahil olmak üzere üst düzey yetkililer tarafından imzalanan belge, güvenilirliği artırıyor ve kullanıcı katılımı olasılığını artırıyor.
Son aşama, genellikle kötü niyetli aktiviteler için yeniden tasarlanan yaygın olarak kullanılan bir penetrasyon test aracı kobalt grev işaretinin dağıtılmasını içerir.
Beacon, alan adlarında barındırılan bir komut ve kontrol (C2) sunucusuna bağlanır fpsymfony[.]com.
Saldırgan altyapısıyla gizli iletişim kurmak için kodlanmış verilerle standart HTTP GET isteklerini kullanır.
Kabuk kodundan çıkarılan anahtar artefaktlar, güvenlik sistemleri tarafından minimum algılamayı sağlayan zamana dayalı kaçış mekanizmaları ve bellek enjeksiyon süreçleri gibi gelişmiş anti-analiz tekniklerini ortaya çıkarır.
Kampanyanın altyapısının analizi, maruz kalan GO derleme kimlikleri ve küresel olarak birden fazla ASN hizmetinde C2 alanlarını döndüren Saldırganlar tarafından operasyonel güvenlik turlarını göstermektedir.
Bu tanımlayıcılar, araştırmacıların benzer yükleri izlemelerini ve diğer kampanyalar aracılığıyla dağıtılan ilişkili kötü niyetli ikili dosyaları izlemelerini sağladı.
Operasyon İçi Oturum Sofistike kimlik avı taktikleri ve gelişmiş kötü amaçlı yazılım dağıtım mekanizmaları aracılığıyla eleştirel araştırma ve savunma ağlarını hedefleyen siber savaşta endişe verici bir eğilimi vurgular.
Saldırganlar, OneDrive gibi meşru uygulamalardan yararlanarak ve bellek içi yürütme tekniklerini kullanarak, hassas sistemlerden ödün verirken tespitten kaçınmayı amaçlayan yüksek düzeyde teknik uzmanlık gösterdiler.
Bu kampanya, giderek daha karmaşık hale gelen tehdit aktörlerinin ortaya koyduğu riskleri azaltmak için hükümet ve askeri sektörler arasında güçlü siber güvenlik önlemlerine duyulan ihtiyacın altını çiziyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!