Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Sosyal Mühendislik
Araştırmacılar Kampanyayı Void Rabisu Olarak Takip Edilen Tehdit Aktörüne Bağladı
Sayın Mihir (MihirBagwe) •
16 Ekim 2023
Mali motivasyona sahip bir bilgisayar korsanlığı grubu, siber casusluk operasyonunu geçtiğimiz yaz Brüksel’de düzenlenen Kadın Siyasi Liderler Zirvesi de dahil olmak üzere yüksek profilli Avrupa konferanslarına katılanları hedef aldı.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
TrendMicro güvenlik araştırmacıları, Tropical Scorpius ve UNC2596 olarak da bilinen tehdit aktörü Void Rabisu’nun, Münih Güvenlik Konferansı ve Dijital Ustalar konferansına katılanların da dahil olduğu saldırılarda bir arka kapı açtığını söylüyor. RomCom olarak bilinen arka kapı, ilk olarak Mayıs 2022’de Palo Alto Networks’ün 42. Birimi tarafından fark edildi. Tehdit aktörleri ayrıca Temmuz ayında yapılacak NATO zirvesini hedef alan yazım hatası saldırılarında da RomCom arka kapısını kullandı (bkz: Ukrayna Ajansları ve NATO, Zirve Öncesinde RAT’larla Hedef Alındı).
Void Rabisu, belki de yalnızca Küba fidye yazılımını dağıtıyor. Tehdit istihbaratı firmaları, tehdit aktörünün 2022’de siyasi açıdan agnostik fidye yazılımı korsanlarından ziyade ulus devlet aktörlerine özgü operasyonlara kaydığını söylüyor. Ukraynalı siber savunucular, hedef odaklı kimlik avı saldırıları yoluyla RomCom’u dağıtan bilgisayar korsanlarını en az iki kez tespit etti.
Void Rabisu’nun devlet destekli olduğuna dair hiçbir kanıt yok. Trend Micro, Cuma günkü bir blog yazısında şöyle yazdı: “Ukrayna’daki savaşın neden olduğu olağanüstü jeopolitik koşullar nedeniyle siber casusluk faaliyetlerine çekilen kişinin yeraltı suç örgütünden mali motivasyona sahip tehdit aktörlerinden biri olması mümkündür.”
Kremlin gözlemcileri uzun süredir siber suç yeraltı örgütü ile Kremlin arasındaki bağlantıları görüyor; bu bağlantılar, Rusya’nın Şubat 2022’de Ukrayna’ya karşı bir fetih savaşı başlatmasının ardından derinleşti.
Void Rabisu, meşru web sitesinin bir kopyasını oluşturarak Kadın Siyasi Liderler Zirvesi katılımcılarını tuzağa düşürdü. .com meşru alan adı yerine üst düzey alan adı .org ihtisas. “Videolar ve fotoğraflar” bağlantısına tıklandığında ziyaretçiler, adında “Yayınlanmamış Resimler” dizesini içeren yürütülebilir bir dosyayı barındıran OneDrive klasörüne yönlendirildi. Yürütüldüğünde, kendi kendine açılan bir arşiv gibi görünüyor, ancak aslında konferanstan gönderilen düzinelerce fotoğrafı sosyal medyaya aktarıyor.
Kötü amaçlı yazılım, Trend Micro’nun RomCom’un Peapod olarak da bilinen yeni bir sürümü olduğunu söylediği bir veriyi indiriyor. Araştırmacılar, Void Rabisu’nun arka kapısını “gerektiğinde ek bileşenlerin indirilmesiyle çekirdeğine kadar” çıkardığını söyledi.
Kötü amaçlı yazılım, arka plandayken HTTP aracılığıyla bir komut ve kontrol sunucusuyla iletişim kurar, bellekte çalışan şifrelenmiş dosyaları indirir ve diskten tamamen kaçınır. RomCom varyantı da TLS 1.2’yi zorluyor ve Trend Micro bunun nedeninden tam olarak emin olmadığını söyledi. “Bu mümkün [Void Rabisu] Araştırmacılar, C&C parmak izini almayı zorlaştırmak için C&C sunucusu tarafında bir tür kontrol uygulamak istediğini” söyledi.