Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar , Devlet
Armageddon Kampanyası Artık Binlerce Ukrayna Sistemini Aynı Anda Hedefleyebiliyor
Akşaya Asokan (asokan_akshaya) •
14 Temmuz 2023
Bir Rus bilgisayar korsanlığı grubu, aynı anda birkaç bin Ukrayna hükümeti bilgi sistemini hedef alacak şekilde becerilerini geliştirdi.
Ayrıca bakınız: İçeriden Gelen Tehditleri Durdurmak için Davranış Analitiği için Yapay Zeka ve Makine Öğrenmesi Nasıl Kullanılır?
Ukrayna bilgisayar Acil Müdahale Ekibi veya CERT-UA Cuma günü yaptığı açıklamada, Rus bilgisayar korsanlığı grubu Armageddon ile bağlantılı kampanyanın özellikle Ukrayna kamu dairelerine ait bilgi sistemlerini hedef aldığını söyledi.
CERT-UA, Rusya ile savaşla bağlantılı olarak ülkenin karşı karşıya olduğu siber saldırıları tespit etmek ve önlemek için teşkilat tarafından toplanan tehdit istihbaratı verilerini analiz ettikten sonra kampanyayı ortaya çıkardı.
Ajans, en son Armageddon kampanyasının, bilgisayar korsanlarının birincil vektör görevi gören kötü niyetli Telegram ve WhatsApp mesajları göndermesiyle başladığını söyledi. Bu mesajlar, bir resim veya belge eki olarak gizlenmiş GammaSteel bilgi hırsızını içeriyordu.
Kötü amaçlı dosya etkinleştirildiğinde, 30 ila 50 dakika boyunca etkin kalan kötü amaçlı yazılım, medya dosyalarını ve Microsoft Office Word şablonlarını değiştirir. Bu, varyantın virüslü sistemde oluşturulan tüm belgelere bulaşmasını sağlar. CERT-UA, bir hafta içinde 80 ila 120 kötü amaçlı dosya oluşturduğunu ve bunun da çeşitli Ukrayna kamu dairelerine ait binlerce sisteme aynı anda bulaşmasını sağladığını söyledi.
Kampanya, temel olarak bilgi çalmak ve uzaktan erişim elde etmek için tasarlandı; varyant, AnyDesk uzak masaüstü uygulamasını yükleyerek bunu başarıyor. CERT-UA, saldırganların çerezleri sızdırmak, iki faktörlü kimlik doğrulamayı atlamak ve tespit edilmekten kaçınmak için PowerShell komutlarını da uyguladığını ekledi.
CERT-UA, Armageddon’a bağlı saldırı vektörünü azaltmak için Windows, komut satırı ve PowerShell betikleri gibi işlemlerin yürütülmesinin sınırlandırılmasını önerir.
CERT-UA tarafından UAC-0010 olarak izlenen Armageddon, 2014’te Rus istihbarat servisinin bir fraksiyonu haline gelene kadar, bir zamanlar Kırım’da Ukrayna Güvenlik Servisi için çalışan subaylardan oluşuyor. Grup, en aktif Rus ileri düzey kalıcılarından biridir. Rusya’nın Şubat 2022’de ülkeyi işgalinden bu yana Ukrayna’ya karşı aktif olarak siber casusluk kampanyaları yürüten gruplar.