Polonya hükümet kurumları, Rusya bağlantılı bir ulus devlet aktörü tarafından düzenlenen büyük ölçekli bir kötü amaçlı yazılım kampanyasının parçası olarak hedef alındı. APT28.
Bilgisayar acil müdahale ekibi CERT Polska Çarşamba günü yayınlanan bir bültende, “Kampanya, alıcının ilgisini çekmeyi ve onu bağlantıya tıklamaya ikna etmeyi amaçlayan içeriğe sahip e-postalar gönderdi.” dedi.
Bağlantıya tıklamak kurbanı run.mocky etki alanına yönlendirir[.]io, webhook adlı başka bir meşru siteye yönlendirmek için kullanılır[.]geliştiricilerin, tespit edilmekten kaçınmak amacıyla bir web kancası aracılığıyla gönderilen verileri incelemesine olanak tanıyan ücretsiz bir hizmet.
Adım adımı webhook’tan bir ZIP arşiv dosyasının indirilmesini içerir[.]JPG resim dosyası (“IMG-238279780.jpg.exe”) gibi görünen Windows Hesap Makinesi ikili dosyasını, gizli bir toplu komut dosyası dosyasını ve başka bir gizli DLL dosyasını (“WindowsCodecs.dll”) içeren site.
Bir kurbanın uygulamayı çalıştırması durumunda, kötü amaçlı DLL dosyası, sonuçta toplu komut dosyasını çalıştırmak için DLL yandan yükleme adı verilen bir teknik aracılığıyla yandan yüklenir; “mayo giymiş gerçek bir kadının görüntüleri ve onun gerçek hesaplarına olan bağlantılar” Hileyi sürdürmek için sosyal medya platformları bir web tarayıcısında görüntüleniyor.
Toplu komut dosyası aynı anda webhook’tan bir JPG görüntüsünü (“IMG-238279780.jpg”) indirir[.]Daha sonra CMD komut dosyası (“IMG-238279780.cmd) olarak yeniden adlandırılan ve çalıştırılan site, ardından güvenliği ihlal edilen ana bilgisayar hakkında bilgi toplamak ve ayrıntıları geri göndermek için son aşama yükünü alır.
CERT Polska, saldırı zincirinin HeadLace adı verilen özel bir arka kapıyı yayan önceki kampanyayla benzerlikler taşıdığını söyledi.
Mocky ve webhook gibi meşru hizmetlerin kötüye kullanılması dikkat çekicidir[.]site, güvenlik yazılımı tarafından tespit edilmekten kaçınmak için ATP28 aktörleri tarafından defalarca benimsenen bir taktiktir.
“Kuruluşunuz yukarıda belirtilen hizmetleri kullanmıyorsa, yukarıda belirtilen alanları uç cihazlarda engellemeyi düşünmenizi öneririz” diye ekledi.
“Yukarıda belirtilen web sitelerini kullanıp kullanmadığınıza bakılmaksızın, webhook.site ve run.mocky.io’daki bağlantılar için e-postaları filtrelemenizi de öneririz, çünkü bunların e-posta içeriğinde meşru kullanım durumları çok nadirdir.”
Bu gelişme, NATO ülkelerinin Kremlin destekli grubu kendi siyasi varlıklarını, devlet kurumlarını ve kritik altyapılarını hedef alan uzun vadeli bir siber casusluk kampanyası yürütmekle suçlamasından birkaç gün sonra geldi.
APT28’in kötü amaçlı faaliyetleri, ilk olarak Trend Micro tarafından Şubat 2015’te Pawn Storm Operasyonu adlı bir kampanyayla bağlantılı olarak ayrıntılarıyla açıklanan XAgent casus yazılımıyla iOS cihazlarını hedef alacak şekilde genişledi.
Broadcom’un sahibi olduğu Symantec, “Öncelikle Batı Avrupa’daki siyasi kurumları ve hükümet kuruluşlarını hedef alan XAgent, uzaktan kontrol ve veri sızdırma yeteneklerine sahip” dedi.
“Kullanıcıların kişileri, mesajları, cihaz ayrıntıları, yüklü uygulamaları, ekran görüntüleri ve çağrı kayıtları hakkında bilgi toplayabilir. Bu veriler potansiyel olarak sosyal mühendislik veya hedef odaklı kimlik avı kampanyaları için kullanılabilir.”
APT28’in Polonya kuruluşlarına yönelik saldırıları, Rusya ve Beyaz Rusya’daki kuruluşların bir ulus devlet aktörü tarafından hedef alınmasına rağmen, UAC-0006 gibi Rus e-suç gruplarının 2023’ün ikinci yarısında Ukrayna’yı hedef alan mali amaçlı saldırılarındaki ani artışın ardından geldi. Hassas bilgileri yağmalayabilecek kötü amaçlı yazılım dağıtmak için Midge olarak bilinir.