Ukrayna’nın Bilgisayar Acil Durum Müdahale Ekibi (CERT), Rusya bağlantılı bilgisayar korsanlarının daha önce görülmemiş kötü amaçlı yazılımları bir saatten kısa bir sürede bir ağ üzerinde dağıtmasına olanak tanıyan yeni bir kimlik avı kampanyası konusunda uyarıyor.
APT28, diğer adıyla Fancy Bear veya Stronsiyum, Batı ülkelerindeki ve NATO kuruluşlarındaki hükümet kuruluşlarını, işletmeleri, üniversiteleri, araştırma enstitülerini ve düşünce kuruluşlarını hedef aldığı bilinen, Rus devleti destekli bir tehdit aktörüdür. Bilgisayar korsanlığı grubunun kimlik avı kampanyaları uyguladığı ve yaygın olarak kullanılan yazılımlardaki sıfır gün güvenlik açıklarından yararlandığı biliniyor.
Ukrayna’yı hedef alan en son kampanya, 15-25 Aralık 2023 tarihleri arasında gerçekleşti ve alıcıları sözde önemli bir belgeyi görüntülemek için bir bağlantıya tıklamaya teşvik eden kimlik avı e-postaları kullanıldı.
Bağlantılar, kurbanları, ‘MASEPIE’ adı verilen yeni bir Python kötü amaçlı yazılım indiricisi için bir enfeksiyon zincirini tetiklemek amacıyla PowerShell komutlarını başlatan bir Windows kısayol dosyasını (LNK) bırakmak için JavaScript kullanan kötü amaçlı web kaynaklarına yönlendiriyor.
.png)
MASEPIE, Windows Kayıt Defterini değiştirerek ve Windows Başlangıç klasörüne yanıltıcı bir şekilde adlandırılmış bir LNK dosyası (‘SystemUpdate.lnk’) ekleyerek virüslü aygıtta kalıcılık sağlar.
CERT-UA, kötü amaçlı yazılımın birincil rolünün, virüslü cihaza ek kötü amaçlı yazılım indirmek ve verileri çalmak olduğunu söylüyor.
Ukraynalı CERT, APT28’in ayrıca Chrome tabanlı web tarayıcılarından veri çalmak için ‘STEELHOOK’ adlı bir dizi PowerShell komut dosyası kullandığını ve muhtemelen şifreler, kimlik doğrulama çerezleri ve tarama geçmişi gibi hassas bilgileri çıkardığını söylüyor.
Saldırının bir parçası olarak kullanılan diğer bir araç da, öncelikle cmd.exe aracılığıyla base64 kodlu komutları yürütmek için kullanılan bir C# arka kapısı olan ‘OCEANMAP’tır.
OCEANMAP, Windows Başlangıç klasöründe ‘VMSearch.url’ adlı bir .URL dosyası oluşturarak sistemde kalıcılık sağlar.
OCEANMAP, alarm verme olasılığı düşük olan komutları gizlice almak ve bunları komutu, kullanıcı adını ve işletim sistemi sürümünü içeren e-posta taslakları olarak saklamak için bir kontrol kanalı olarak İnternet Mesaj Erişim Protokolü’nü (IMAP) kullanır.
Komutları yürüttükten sonra OCEANMAP, sonuçları gelen kutusu dizininde saklayarak APT28’in sonuçları gizlice almasına ve gerekirse saldırılarını ayarlamasına olanak tanır.
Ağ keşfi ve yatay hareket için saldırılarda kullanılan diğer araçlar arasında, ağ protokolleriyle çalışmaya yönelik Python sınıflarının bir koleksiyonu olan IMPAKET ve uzaktan komut yürütülmesine olanak tanıyan SMBEXEC yer alıyor.
Ukrayna’nın CERT’i, bu araçların ilk uzlaşmadan sonraki bir saat içinde güvenliği ihlal edilmiş sistemlerde konuşlandırıldığını, bunun da hızlı ve iyi koordine edilmiş bir saldırı olduğunu gösterdiğini söyledi.