Siber Warfare / Nation-State Saldırıları, Sahtekarlık Yönetimi ve Siber Saldırı, Geo Focus: Birleşik Krallık
Mızrak-aktı kampanyası Romcom kötü amaçlı yazılım varyantını kullandı
Akhabokan Akan (Athokan_akhsha) •
14 Nisan 2025
İngiliz hükümeti Cuma günü yaptığı açıklamada, daha önce Rusça konuşan bilgisayar korsanlarıyla ilişkili bir kimlik yazılımını kullanan kötü amaçlı yazılımlar 2024’ün sonlarında İngiltere Savunma Bakanlığı’nı hedeflediğini söyledi.
Ayrıca bakınız: İngiltere Kamu Sektörü ve Eğitiminde Fidye Yazılımı Önleme için Nihai Stratejiler
Bilgisayar korsanları, bir haber kuruluşundan kaynaklandığını iddia eden e-postalarla mızraklı memurlar, daha sonra kullanıcıları ticari bir dosya paylaşım sitesine yönlendiren finansal olarak temalı yemi dağıtıyor. Bakanlık ve Ulusal Siber Güvenlik Merkezi kampanyayı Cuma günü açıkladı. Kimlik avı e -postalarındaki bağlantıları tıklayan herkes, sonuçta bilgisayarlarında Damascened Peacock olarak bilinen kötü niyetli bir indirici ile sonuçlandığını söylediler.
Damascened Peacock, daha önce Rusça konuşan bir tehdit grubuna bağlı Romcom kötü amaçlı yazılım ailesinin bir çeşididir. Güvenlik firması Cisco Talos Ekim ayında bir tehdit oyuncusu izledi. Talos grubu hem fidye yazılımı ve casusluk odaklı saldırılar olarak nitelendirdi. 2023 yılında Microsoft, Avrupa ve Kuzey Amerika’daki savunma ve devlet kuruluşlarını hedefleyen Storm -0978 ile takip ettiği aynı grubu gözlemledi.
Savunma Bakanlığı’na karşı kampanyanın geçen yılın sonlarında bildirilen 600 silahlı personel, memur ve savunma yüklenicilerinin veri sızıntısına bağlı olup olmadığı belli değil. Sızıntı, saldırganların e -posta adresleri ve bakanlık personelinin şifreleri de dahil olmak üzere bilgilere erişmesine izin veren şüpheli bir Rus hackinden kaynaklandı.
Mağdurlar bir kimlik avı bağlantısını tıkladıklarında, kendilerine bir yürütülebilir dosyayı indirmeye yönlendiren başka bir bağlantı gösterildi. Bu bağlantı hedef cihaza bir PDF dosyası indirdi ve daha sonra Damascened Peacock indiricisini dağıttı.
Kötü amaçlı yazılım gelişmiş kaçış taktikleri ile geldi. Raporda bunlar, statik veya diğer savunma analizlerinden kaçınmak için XOR tabanlı satır içi dize gizleme ve dinamik uygulama programlama arayüzleri çözünürlüğünün kullanılmasını içeriyordu.
Hükümet raporuna göre, kötü amaçlı yazılımlar kalıcılık faaliyetleri yürüten son bir devlet yükü kullandı.
Mod’dan yapılan açıklama, özellikle Rus, İran, Çin ve Kuzey Koreli bilgisayar korsanlarından, ülkeye yükselen ulus devlet tehditlerinin İngiliz istihbarat teşkilatlarından geliyor (bkz: bkz: MI5 Şefi İngiltere’ye siber telleri uyarıyor).