APT28 olarak da bilinen Fancy Bear, Rus devlet destekli bir tehdit aktörüdür. Grup, Graphite kötü amaçlı yazılımını dağıtmak için MS PowerPoint dosyalarında fare hareketinden yararlanan yeni bir kod yürütme yöntemi kullanarak yeniden faaliyete geçti.
Bilginize, APT28/Fancy Bear, GRU adlı bir Rus askeri istihbarat birimi ile bağlantılıdır. Bu, Ekim 2016’da MH17 uçuş kazası müfettişlerini hedef odaklı kimlik avı kampanyasıyla hacklemekle suçlanan grupla aynı grup. 2018’de grup, IŞİD kılığında ABD ordusunun eşlerine ölüm tehditleri göndermekle suçlandı.
Kampanya Ayrıntıları
Tehdit istihbarat firması Cluster 25’e göre, Fancy Bear, kötü amaçlı bir PowerShell betiği yürütmek için MS PowerPoint sunumlarında fare hareketlerini kullandı. Grup, bu amaç için SyncAppvPublishingServer yardımcı programından yararlanır.
Cluster25, teknik raporunda, saldırının, kullanıcının sunum modunu çalıştırdıktan ve fareyi kullandıktan hemen sonra başladığını belirtti. Bir PowerShell betiği çalıştırılır ve OneDrive’dan bir damlalık indirilir ve yürütülür.
.ppt dosyalarında Fransızca ve İngilizce talimatlar içeren iki slayt bulunurken, yorumlama seçeneği Zoom uygulamasında mevcuttur. Görüntü dosyası, şifresi çözülen ve ‘C:\ProgramData\’ dizinine bırakılan şifreli bir DLL dosyasıdır, daha sonra rundll32.exe aracılığıyla çalıştırılır ve kalıcılığı sağlamak için bir kayıt defteri anahtarı da oluşturulur.
Dropper, takip eden bir yük için bir yol işlevi gören zararsız görünen bir görüntü dosyasıdır. Bu bir Graphite kötü amaçlı yazılım çeşididir. C2 iletişimlerini yürütmek ve ek yükleri almak için Microsoft Graph API ve OneDrive’ı kullanır. Fancy Bear, hizmete erişmek için geçerli bir OAuth2 belirteci ve sabit bir istemci kimliği kullanır.
Daha Fazla Süslü Ayı Haberi
- Hırsızlık önleme yazılımı LoJack, Fancy Bear tarafından ele geçirildi
- Fancy Bear tarafından hedeflenen Cumhuriyetçi ve Muhafazakar liderler
- Fantezi Ayı Sızan NSA Aracı ile VIP Otel Misafirlerini Gözetliyor
- Fancy Bear’ın VPNfilter kötü amaçlı yazılımı 7 yeni modülle geri döndü
- Bilgisayar korsanları, Putin’in eleştirmenlerine karşı gizli saldırılar için çalınan e-postaları değiştirdi
Saldırı Yöntemi Analizi
Şirketin raporuna göre saldırı, Parish merkezli kuruluş OECD (Ekonomik İşbirliği ve Kalkınma Örgütü) ile bağlantılı bir şablona sahip bir cazibe belgesinin kullanılmasını gerektiriyor.
Araştırmacılar, saldırıda kullanılan URL’lerin Ağustos ve Eylül ayları arasında aktif olması nedeniyle bu saldırıların devam ettiğini kaydetti. Ancak, bilgisayar korsanlarının Ocak ayında kampanyaya hazırlanmaya başladıklarını da söylediler.
“Cazibe belgesini sunum modunda açarken ve kurban fareyi bir köprünün üzerine getirdiğinde, bir Microsoft OneDrive hesabından bir JPEG dosyası (“DSC0002.jpeg”) indirmek için kötü amaçlı bir PowerShell betiği etkinleştirilir.”
Küme 25
Potansiyel Hedefler
bu kampanyanın potansiyel hedefleri arasında hükümet ve savunma sektörlerindeki kişi ve kuruluşlar yer alıyor. Fancy Bear, öncelikle Doğu Avrupa ve Avrupa’daki kuruluşları hedefliyor. Bu, Fancy Bear’ın çetenin coğrafi odağını göz önünde bulundurarak belirli hedeflere ulaşmayı hedeflediğini gösteriyor.