Yaklaşan NATO zirvesinin 11-12 Temmuz 2023 tarihleri arasında Litvanya’nın Vilnius kentinde yapılması planlanıyor.
BlackBerry Tehdit Araştırma ve İstihbarat ekibi, tehdit aktörünün RomCom RAT ile Ukrayna ve NATO destekçilerini hedef aldığı yeni bir kampanya keşfetti (uzaktan erişim truva atı).
Tehdit aktörünün TTP’lerine (taktikler, teknikler ve prosedürler), ağ altyapısına ve kod benzerliğine ilişkin analizlerine göre, saldırının arkasında tehdit aktörü RomCom var. Bu nedenle, kötü amaçlı yazılıma RomCom RAT adı verilir.
Bilgin olsun, RomCom RAT ayrıca Tropical Scorpius, Void Rabisu ve UNC2596. C dilinde yazılmış ve kısa bir süre önce Batılı ülkelerle yakın çalışan Ukraynalı politikacılara ve Ukrayna’dan kaçan mültecilere yardım eden ABD’deki bir sağlık kuruluşuna yönelik siber saldırılarda tespit edildi.
Bu kampanya kampanyadan hemen önce başlatıldı. yaklaşan NATO zirvesi11-12 Temmuz 2023 tarihlerinde Litvanya’nın Vilnius kentinde düzenlenmesi planlanan 2023. Araştırmacılar, tehdit aktörlerinin oltalama saldırılarıyla zirveyi ve Ukrayna’yı destekleyen uluslararası bir kuruluşu hedef aldığını kaydetti.
Buna göre Blog yazısı BlackBerry tarafından yayınlanan siber güvenlik ekibi, 4 Temmuz 2023’te Macaristan merkezli bir IP adresi aracılığıyla gönderilen iki kötü amaçlı belge tespit etti:
- Letter_NATO_Summit_Vilnius_2023_ENG(1).docx
- Genel Bakış_of_UWCs_UkraineInNATO_campaign.docx
Bu belgeler kuruluşa gönderilir ve Ukrayna yanlısı konuklar NATO zirvesine yem olarak davet edildi. Bu, tehdit aktörünün Ukrayna’nın NATO’ya katılımı ve Ukrayna’nın gelecekte örgüte üye olma olasılığı için lobi yapmaya çalışıyormuş gibi görünen sahte belgeler kullandığını gösteriyor.
BlackBerry araştırmacıları, tehdit aktörlerinin Ukrayna destekçilerini hedef almak için Ukrayna Dünya Kongresi web sitesini taklit eden kötü niyetli bir belge oluşturup dağıtarak bu olaydan yararlanmaya çalıştıklarından şüpheleniyor.
Bu belgeler, alıcıyı başka bir sahte web sitesi etki alanına yönlendiren bir bağlantıya tıklamaya çeker. Saldırganlar kullanıyor yazım hatası ukrainianworldcongress(.) kuruluşunu taklit etmek için, ancak bir değişiklikle: sonunda .org yerine .info kullanıyorlar. Bu değişiklik hedef odaklı kimlik avı kampanyasını başarılı kılmak için yapılmıştır.
Kurban bağlantıya tıklarsa cihazına RomCom RAT bulaşır ve saldırganlar IP adresi, kullanıcı adı ve hatta konum gibi hassas sistem verilerini elde edebilir.
Kötü amaçlı belge, temelde iyi tasarlanmış bir yürütme sırasını tetikler. Bu sıra, ara yükleri almak için bir uzak sunucuyla bağlantı kurulmasıyla başlar. Bundan sonra, saldırganlar artık yamalanmış güvenlik açığından yararlanır. Follina (CVE-2022-30190 olarak izlenir), Microsoft Destek Teşhis Aracını etkiler. Bu istismar, uzaktan kod yürütme elde etmelerini sağlar.
“Başarılı bir şekilde yararlanılırsa, bir saldırganın güvenlik açığından yararlanmak için tasarlanmış kötü amaçlı bir .docx veya .rtf belgesi oluşturarak uzaktan kod yürütme tabanlı bir saldırı gerçekleştirmesine olanak tanır. Bu teknik, makrolar devre dışı bırakıldığında ve bir belge Korumalı modda açıldığında bile etkilidir.”
BlackBerry Araştırma ve İstihbarat Ekibi
Dahili telemetri, siber silahlar ve ağ veri analizinin daha fazla araştırılması, kampanyanın 22 Haziran’da aktif hale geldiği varsayımına yol açtı. Saldırganın C2 sunucusu kaydedildi ve sadece birkaç gün önce yayına girdi.
Araştırmacılar henüz ilk enfeksiyon vektörünü belirlemediler. Bununla birlikte, bunun jeopolitik olarak motive edilmiş bir kampanya olduğundan eminler ve ana hedefleri arasında ordular, bilişim firmaları ve gıda tedarik zincirleri yer alıyor.
İLGİLİ MAKALELER
- KillNet, NATO Girişleriyle Eşcinsel Arkadaş Profilleri Oluşturuyor
- Portekiz Silahlı Kuvvetlerine Yönelik Siber Saldırıda NATO Verileri Çalındı
- NATO, En İyi Füze Firması MBDA’dan Veri Satan Bilgisayar Korsanlarını Araştırdı
- NATO, AB onaylı güvenlik duvarında kimlik doğrulama baypas kusuru bulundu
- Eski NATO sığınağındaki veri merkezi çocuk pornosu barındırdığı için ele geçirildi