Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar , Devlet
Kampanya Hedefleri 22 Büyükelçilik; Birim 42 Bunu Rus Dış İstihbaratına Bağlıyor
Mathew J. Schwartz (euroinfosec) •
12 Temmuz 2023
Ukrayna’nın başkenti Kiev’de kullanılmış araba alışverişi yapan diplomatlar, umduklarından fazlasını almış olabilir.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditleri Ele Alma Sınırlamalarını Aşmak: Gerçek Güvenlik Zorlukları için Gerçek Çözümler
Yakın tarihli bir kimlik avı saldırısı, 2011 BMW 5 Serisi için kötü niyetli bir listeleme yoluyla Kiev merkezli büyükelçilik çalışanlarını hedef aldı ve 7.500 Euro’luk indirimli bir fiyata “çok iyi durumda, düşük yakıt tüketimi” sözü verdi. Palo Alto Networks’teki Unit 42 tehdit istihbarat grubu araştırmacılarının bildirdiğine göre, reklam okuyucuları “yüksek kaliteli fotoğrafları” öğrenmek ve görmek için bağlantılara tıklamaya davet etti, ancak bağlantılar kullanıcıları sistemlerine kötü amaçlı kod göndermek için tasarlanmış sahte web sitelerine yönlendirdi.
İronik bir şekilde, kullanılmış araba reklamı orijinal olarak Polonyalı bir diplomat tarafından Nisan ayında Kiev’deki bir dizi büyükelçiliğe e-postayla gönderilen meşru bir broşürdü. Araştırmacılar, düşmanların broşürü ele geçirdiğinden ve çekiciliğinin Ukrayna’da kısa süreli hizmet veren ve ulaşım ihtiyacı olan diplomatlar için bir kimlik avı yemi olduğunu anladığından şüpheleniyorlar.
4 Mayıs’ta tehdit grupları, Arnavutluk, Kanada, Estonya, Yunanistan, Irak, İrlanda, Letonya, Libya, Norveç, Türkiye ve ABD, Unit 42 bildirdi.
Araştırmacılar, “Bu, genellikle dar kapsamlı ve gizli APT operasyonları için şaşırtıcı bir kapsamdır” dedi.
Belirsiz bir süre boyunca devam eden ve Haziran ayı ortasında hava kararana kadar devam eden saldırı kampanyasını, SVR olarak bilinen Rusya’nın dış istihbarat servisine bağlı gelişmiş bir kalıcı tehdit grubuna bağladılar. Grup, APT29, Cozy Bear, UAC-0029, Nobelium ve Cloaked Ursa gibi çeşitli kod adlarıyla biliniyor.
Araştırmacılar, Aralık 2020’de keşfedilen SolarWinds tedarik zinciri saldırısını APT29’un düzenlediğine inanıyor. Saldırganlar, bu çok karmaşık çabayla yazılım geliştiricinin Microsoft Visual Studio geliştirme araçlarını hackleyerek müşterilere gönderdiği Orion ağ izleme güvenlik yazılımına bir arka kapı ekledi.
Kesintisiz Hacking Kalıcılığı
Birim 42, saldırganların hedef aldığı e-posta adreslerinin %80’inin herkese açık olduğunu ve kolayca elde edilebildiğini ve birçoğunun genel posta kutularına yönlendirildiğini söyledi. Genel bir posta kutusunu hedeflemek, bu tür posta kutularını yöneten personeli kandırarak kötü niyetli listeleri büyükelçilik çalışanlarına yaymak için tasarlanmış olabilir ve belki de alıcıların mesajlaşmaya daha fazla güven duymasına neden olabilir.
Araştırmacılar, hedeflenen e-posta adreslerinin geri kalan %20’sinin halka açık olmadığını, yani “saldırganların istenen ağlara erişimlerini en üst düzeye çıkarabilmelerini sağlamak için kurban hedef listelerini oluşturmak için büyük olasılıkla diğer toplanan istihbaratları da kullandıklarını” söyledi.
Nitelikleri sağlam değil. Bunun kısmen, bu saldırıda kullanılan kod ile daha önce ABD ve Birleşik Krallık hükümetlerinin SVR operatörlerine atfettiği operasyonlar tarafından kullanılan kod ile ortak taktikler, teknikler ve prosedürler arasındaki örtüşmeye dayandığını söylediler.
Rusya, Şubat 2022’de Ukrayna işgalini yoğunlaştırdığından beri APT29, ilgili siber operasyonlara aktif olarak katılan az sayıdaki Rus grubundan biri oldu. Grup kısmen, Ukrayna ve müttefikleri genelinde devlet kurumlarını ve diplomatik operasyonları hedef almak için tasarlanmış çok sayıda kimlik avı kampanyasına bağlandı.
Birim 42, “Diplomatik görevler her zaman yüksek değerli bir casusluk hedefi olacaktır” dedi. “Rusya’nın Ukrayna’yı işgalinin on altı ayında, Ukrayna’yı çevreleyen istihbarat ve müttefik diplomatik çabalar, neredeyse kesinlikle Rus hükümeti için yüksek bir öncelik.
Tehlikeli Bağlantılar
BMW listesindeki köprüler, büyük bir kötü niyetli siteyi zorlamak için alt üst edilmiş yasal bir siteye yönlendirdi. bmw.iso Araştırmacılar, bir kullanıcı tarafından açıldığında dokuz belirgin görüntü dosyasını ortaya çıkaran dosya. Bu sözde PNG dosyaları aslında LNK Windows kısayol dosyalarıdır ve tıklandığında saldırının ilerlemesini sağlayan diğer adımların yanı sıra kötü amaçlı DLL dosyalarını yükleyecek bir komut dosyasını çalıştırmak üzere tasarlanmıştır. Başarılı olursa, kötü amaçlı yazılım sonunda bellekte bir komut ve kontrol sunucusuyla iletişimi kolaylaştıran bir yük yürütür ve ardından kötü amaçlı bir yükü virüs bulaşmış uç noktaya gönderir.
Araştırmacılar, C2 iletişimlerinin, Microsoft Bulut hizmet kaynaklarına erişim için tasarlanmış ve grup için yeni benimsenmiş bir taktik gibi görünen Microsoft Graph API kullanılarak gerçekleştirildiğini söyledi. Bu C2 iletişim yöntemi başarısız olursa, kötü amaçlı yazılımın geri dönüş stratejisi, Dropbox API kullanarak – en azından bazen bitmap dosyaları kılığında – komutlar göndermekti.
APT29, Check Point’te bir tehdit araştırmacısı olan Jiří Vinopal tarafından geçen yıl yayınlanan APT29’a atfedilen bir mızrakla kimlik avı saldırısında kullanılan kötü amaçlı yazılımın parçalanmasında ayrıntılı olarak belirtildiği gibi, daha önce bu TTP’lerin çoğuna bağlanmıştı. Analiz ettiği kampanya ayrıca, hilelerini tespit etmeyi zorlaştırmak için dosya özniteliklerini gizlerken yürütmeleri için sözde dosyaları görüntüleyerek kullanıcıları hedeflemek için bir ISO dosyası kullandı.
Vinopal’ın kötü amaçlı yazılımla ilgili analizi, aynı şekilde, her kurbana özel bir anahtar kullanılarak şifrelenmiş kötü amaçlı kod gönderecek olan “C2 Dropbox istemcisi ile C2 Dropbox sunucu iletişimi arasında aracı görevi gören meşru bir ‘Dropbox’ hizmetini” kötüye kullandığını tespit etti. Şifresi çözüldüğünde, bu kodun saldırıyı ilerletmeye yardımcı olmak için muhtemelen Cobalt Strike veya benzeri bir yazılımı indirmiş olacağını söyledi.