Bir tehdit aktörü, Cobalt Strike saldırı sonrası araç setini Ukrayna’daki kullanıcılara ait Windows sistemlerine yerleştirmeye çalışıyor.
Fortinet’teki araştırmacılar bu hafta bir blog yazısında, kampanyanın odak noktasının gelecekteki yük dağıtımı ve potansiyel olarak diğer kötü amaçlı amaçlar için hedeflenen sistemlerin tam uzaktan kontrolünü elde etmek gibi göründüğünü söyledi.
Ukrayna Temalı Belge
Güvenlik satıcısı Tehdit aktörünü anlattı Başlangıç cazibesi olarak gömülü bir Visual Basic uygulaması (VBA) makrosu içeren Ukrayna temalı bir Excel dosyasının kullanılması gibi. Dikkatsiz bir kullanıcı makroyu etkinleştirirse, kurbanın sistemine ConfuserEX açık kaynak aracı aracılığıyla gizlenmiş bir dinamik bağlantı kitaplığı (DLL) indiricisi dağıtır.
DLL indiricisinin yaptığı ilk şeylerden biri, ele geçirilen sistemde antivirüs ve diğer kötü amaçlı yazılım tespit araçlarının varlığını aramaktır. İndirici bir tanesinin varlığını tespit ederse, daha sonraki etkinliği derhal sonlandırır. Aksi takdirde, bir sonraki aşamanın yükünü uzak bir konumdan çekmek için bir Web isteği kullanır. DLL indiricisi, özellikle Ukrayna’da bulunan cihazlara yalnızca ikinci aşama yükünü indirebilecek şekilde tasarlanmıştır. Buradan indirici, Cobalt Strike’ın kurbanın cihazına konuşlandırılmasıyla sonuçlanan bir dizi adımı yürütür.
Fortinet güvenlik araştırmacısı Cara Lin blogda şunları yazdı: “Bu karmaşık saldırıda saldırgan, operasyonel istikrarı sağlarken tespit edilmesini engellemek için çok aşamalı kötü amaçlı yazılım taktikleri kullanıyor.” Lin, “Saldırgan, yük indirmeleri sırasında konuma dayalı kontroller uygulayarak şüpheli etkinlikleri maskelemeyi amaçlıyor ve potansiyel olarak analistlerin incelemesinden kaçıyor” diye ekledi.
Diğer kaçınma ve kalıcılık mekanizmaları arasında, DLL dosyalarının dağıtımını kolaylaştırmak için VBA makrosunda kodlanmış dizelerin kullanımı, algılama mekanizmalarından kaçınmak için kendi kendini silme özelliği ve geciktirme taktikleri kullanan bir DLL enjektörü ve sanal alanlardan kaçınmak için ana süreç sonlandırma mekanizmaları yer alır.
Lin, “Bu planlanmış manevralar, Kobalt Saldırısının özellikle Ukrayna’nın jeopolitik manzarasının sınırları dahilinde hedeflenen uç noktalara konuşlandırılmasına doğru ilerliyor” dedi.
Bir Hedefleme Modeli
Yeni kampanya, Fortinet ve diğerlerinin özellikle Rusya’nın 2022 işgalinden sonra son yıllarda bildirdiği, Ukrayna’daki bireyleri ve kuruluşları hedef alan çok sayıda kampanyaya benziyor. Bu saldırıların çoğu, yetenekleri bozma ve bozma girişimlerini içeriyordu. Ukrayna’nın kritik altyapısı. Diğerleri Ukrayna’yı hedef aldı hükümet ve askeri genellikle destekleyen kuruluşlar Rus askeri hedefleri ülkede.
Rusya merkezli siber gruplar ve Rusya’nın askeri istihbaratı için çalışanlar çoğu zaman bu olayın başlıca failleri oldu. Seçtikleri silahlar, gürültülü veri silecekleri ve fidye yazılımlarından “Industroyer” gibi son derece gelişmiş özel tasarım araçlara kadar her şeyi içeriyordu. Rusya’nın Kum Solucanı Grubu Ukrayna’nın elektrik şebekesine yönelik saldırılarda kullanıldı.
Fortinet’in yakın zamanda tespit ettiği yeni saldırılar, Kobalt Saldırısının Ukrayna hedeflerine karşı kullanıldığı ilk saldırı da değil. 2022’de güvenlik sağlayıcısı başka bir tehdit aktörünün bir Ukrayna askeri temalı Excel belgesi Ukrayna’daki sistemlerde Kobalt Saldırısı gerçekleştirecek. Geçtiğimiz yıl, Ukrayna Bilgisayar Acil Durum Müdahale Ekibi, tehdit aktörü UAC-0057’nin yerleşik bir makro ve yem görüntüsü içeren bir XLS dosyası kullandığını bildirdi. Cobalt Strike Beacon ve PicassoLoader’ı dağıtın Ukrayna’daki kurban sistemlerindeki kötü amaçlı yazılım.