Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar
Polonyalı CERT, Avrupa Büyükelçilikleri ve Diplomatların En Büyük Risk Altında Olduğunu Uyardı
Akşaya Asokan (asokan_akshaya) •
13 Nisan 2023
Polonya CERT ve Askeri Karşı İstihbarat Servisi, bir Rus ulus-devlet grubuna bağlı devam eden bir siber casusluk kampanyasının, Ukrayna’daki savaşla ilgili Batı hükümetinin istihbaratını çalmak için Avrupa devlet kurumlarını ve diplomatları hedef aldığını söylüyor.
Ayrıca bakınız: Web Semineri | Ağ Mimarisinin Evrimi: Bilmedikleriniz Size Zarar Verebilir
İki devlet kurumundan Perşembe günü yapılan bir uyarı, Rus APT grubu Nobelium’a bağlı bir kampanyanın NATO ve Avrupa Birliği ile bağlantılı devlet kurumlarını ve diplomatları ve daha az ölçüde Afrika uluslarını hedef aldığı konusunda uyarıda bulunuyor.
Polonyalı ajanslar, bilgisayar korsanlarının Avrupa büyükelçiliklerinden geliyormuş gibi görünen kimlik avı e-postalarını kullanarak kurbanları hedef aldıklarını ve onları büyükelçiliklerden birindeki bir toplantıya veya etkinliğe davet ettiklerini söylüyor.
E-postalar, takvim davetleri veya toplantı ajandası kılığına girmiş kötü amaçlı belgeler içerir. Kurbanlar bu dosyaları açtıklarında, EnvyScout adlı bir ticari marka olan Nobelium kötü amaçlı yazılım damlatıcısını barındıran güvenliği ihlal edilmiş bir web sitesine yönlendirilirler. .img veya .iso dosyaları kurbanın sistemine
Nobelium daha önce bilgisayarda gizlenmiş kötü amaçlı yazılım kullandı. .zip veya .iso dosyalar, ancak en son kampanyada, bilgisayar korsanları ek yükler .img Kullanıcıların kötü amaçlı dosyaları indirmesini önlemek için kullanılan bir güvenlik önlemi olan Web İşareti özelliğinden yoksun dosyalar. Kötü amaçlı yazılım, sistem kullanıcılarını uyarmadan Windows Gezgini kullanılarak açılır.
Kötü amaçlı yazılım çalıştırıldıktan sonra, daha sonra kurbanın IP adresini ve diğer sistem bilgilerini sızdıran komut ve kontrol aracı SnowyAmber ve kötü amaçlı yazılım indirici QuarterRig dahil olmak üzere daha önce Nobelium ile ilişkilendirilen daha fazla araç yükler.
Polonyalı CERT, bilgisayar korsanlarının bu bilgileri potansiyel hedefleri belirlemek ve herhangi bir virüsten koruma veya kötü amaçlı yazılım algılama aracını etkinleştirip etkinleştirmediklerini belirlemek için kullandığını söylüyor.
Polonyalı CERT, Avrupa devlet kurumları ve personeline ek olarak, Avrupalı sivil toplum kuruluşlarının da Nobelium hack’i riski altında olduğunu söyledi. Ajans, bilgisayar korsanlığına karşı korunmak için disk dosyası bağlama yeteneklerinin engellenmesini ve istemsiz dosya yürütmeyi önlemek için yazılım kısıtlamalarının etkinleştirilmesini önerir.
BlackBerry Research and Intelligence’ın yakın tarihli bir raporu, kampanyanın Mart ayının başından beri aktif olduğunu ve eski ağ altyapısını kullanan kurbanları hedef aldığını söylüyor. BlackBerry, kampanyanın büyük olasılıkla Polonya büyükelçisi Marek Magierowski’nin Şubat ayında ABD’ye yaptığı ziyaret sırasında Rus bilgisayar korsanları tarafından başlatıldığına inanıyor.
BlackBerry araştırmacıları, “Nobelyum kampanyasının hedefinin Batı ülkeleri, özellikle de Ukrayna’ya yardım sağlayan Batı Avrupa ülkeleri olduğuna inanıyoruz.”
APT29 ve CozyBear olarak da bilinen Nobelium, Ukrayna ve müttefiklerine karşı aktif olarak siber operasyonlar yürüten bir avuç Rus grubundan biri. Araştırmacılar, grubun Aralık 2020’de keşfedilen SolarWinds tedarik zinciri saldırısını da gerçekleştirdiğine inanıyor.