Polonya ordusu, CERT.PL ile birlikte kısa bir süre önce, APT29 (Cozy Bear ve Nobelium olarak da bilinir) olarak adlandırılan Rus devlet destekli bir hacker grubunun NATO ve Avrupa Birliği ülkeleri ile Afrika’yı, ancak daha az ölçüde aktif olarak hedef aldığını keşfetti. .
Siber casusluk grubunun kampanyası, veri toplama teknikleri aracılığıyla dışişleri bakanlıkları ve diplomatik kuruluşlardan hassas bilgiler elde etmeye odaklandı.
Polonya’nın Askeri Karşı İstihbarat Servisi ve CERT.PL, tüm potansiyel hedeflere BT sistemlerinin güvenliğini artırmaları ve aktörün çıkarlarına karşı koruma sağlamak için saldırı tespit mekanizmalarını iyileştirmeleri tavsiyesinde bulundu.
Teknik Analiz
Saldırganlar, Avrupa ülkelerinden gelen büyükelçilikler gibi görünen sahte e-postalar oluşturarak, kurbanları kötü amaçlı web sitelerine yönlendirmek için hedef odaklı kimlik avı taktikleri kullanarak diplomatik personeli hedef aldı.
BlackBerry raporuna göre, hedefin bilgisayar sistemlerine kötü amaçlı yazılım dağıtmak amacıyla e-postaların ISO, IMG ve ZIP dosyalarını ek olarak da kullandılar.
APT29 kontrollü web sitelerinde HTML kaçakçılığı ile kolaylaştırılan EnvyScout damlası, kurbanlara bulaştı ve aşağıdakiler gibi kötü amaçlı yazılım indiricilerin konuşlandırılmasına yol açtı: –
Ek olarak, saldırganlar daha fazla kötü amaçlı yazılım dağıtmak için HALFRIG adlı CobaltStrike Beacon düzenleyiciyi kullandı.
Saldırganlar, hedef alaka düzeyini belirlemek ve kötü amaçlı yazılım analizi için kullanılan bal küplerinden veya sanal makinelerden kaçınmak için keşif amacıyla SNOWYAMBER ve Quarterrig’i kullandı.
Virüslü iş istasyonunun manuel olarak doğrulanması sürecinden sonra, SNOWYAMBER ve Quarterrig indiricileri, aşağıdakiler gibi ticari araçları dağıtmak için kullanıldı:-
- KOBALT VURUŞU
- KABA ORAN
HALFRIG, diğer indiricilerin aksine, COBALT STRIKE yükünü içeren bir yükleyici olarak çalışır ve onu otomatik olarak başlatır.
Rus Dış İstihbarat Servisi’nin (SVR) bilgisayar korsanlığı bölümü APT29, üç yıl önce çeşitli ABD federal kurumlarının sızmasına neden olan SolarWinds tedarik zinciri saldırısından sorumluydu.
APT29, SolarWinds saldırısından bu yana TrailBlazer ve yıllarca fark edilmeyen GoldMax Linux arka kapısının bir çeşidi gibi gizli kötü amaçlı yazılımları kullanarak çeşitli kuruluşların ağlarını ihlal etmeye devam etti.
Brute Ratel düşmanca saldırı simülasyon aracının, Birim 42 tarafından Rus SVR siber casuslarıyla bağlantılı şüpheli siber saldırılarda kullanıldığı belirlendi.
Microsoft, APT29 bilgisayar korsanlarının Windows sistemlerine erişim elde etmek ve herkes olarak oturum açmak için Active Directory Federasyon Hizmetleri’nden (ADFS) yararlanabilecek yeni kötü amaçlı yazılımlar kullandığını bildirdi.
APT29 grubu, hassas dış politika bilgilerinin peşinde koşarken NATO ülkelerindeki Microsoft 365 hesaplarını hedef aldı ve aşağıdakileri amaçlayan çok sayıda kimlik avı kampanyası yürüttü:-
- Avrupa hükümetleri
- Avrupa Büyükelçilikleri
- Üst düzey yetkililer
öneriler
Aşağıda, siber güvenlik analistleri tarafından sunulan tüm önerilerden bahsetmiştik:-
- Bağlanmamaları için disk görüntülerini dosya sistemine bağlama özelliğini devre dışı bırakın.
- Yönetici olarak atanan kullanıcılar tarafından disk imaj dosyalarının montajının izlenmesi gereklidir.
- Saldırı Yüzeyi Azaltma Kurallarını10 etkinleştirdiğinizden ve doğru şekilde yapılandırdığınızdan emin olun.
- Yürütülebilir dosyaların beklenmedik konumlardan başlamasını önlemek için Yazılım Kısıtlama İlkesini yapılandırmalısınız.
Uç Noktalarınızı Nasıl Yönetir ve Güvenceye Alırsınız? – Ücretsiz E-kitapları ve Teknik İncelemeleri İndirin