Siber Savaş / Ulus Devlet Saldırıları , Uç Nokta Güvenliği , Dolandırıcılık Yönetimi ve Siber Suçlar
Gamaredon, Thumb Drives Aracılığıyla Özel Arka Kapıyı Yayıyor
Prajeet Nair (@prajeetspeaks) •
16 Haziran 2023
Güvenlik araştırmacıları, Rus hükümeti bağlantılı bir tehdit grubunun, hava boşluklu makinelere ulaşmak için özel bir arka kapı yaymak için USB sürücüler kullandığını söyledi.
Ayrıca bakınız: VMware Carbon Black Uygulama Kontrolü
Symantec tarafından Shuckworm olarak adlandırılan ve Gamaredon ve Primitive Bear olarak da bilinen tehdit aktörü, Ukrayna askeri personelinin ölümleri, askeri angajmanlar ve silah envanterleri dahil olmak üzere bilgi toplamak için bir siber casusluk kampanyası yürütüyor.
2021’de Ukrayna Güvenlik Servisi, Armageddon olarak izlediği grubu, Kırım’da faaliyet gösteren Rus güvenlik servisi FSB’nin bir birimi olarak tanımladı.
Gamaredon, kurbanın makinesine erişim elde etmek ve kötü amaçlı yazılım dağıtmak için ilk bulaşma vektörü olarak kimlik avı e-postalarını kullanır. Lures, silahlı çatışma, suç ve çocukları koruma gibi konuları içerir. Symantec, bu kampanyadaki saldırıların çoğunun Şubat ayı civarında başladığını ve bazı durumlarda saldırganların kurban makinelerde varlığını Mayıs ayına kadar sürdürdüğünü söyledi.
Ukraynalı siber savunucular bu yılın başlarında, Kremlin’in fetih savaşı ilerlerken Rus bilgisayar korsanlarının casusluğu kesintiye uğratmaktan daha öncelikli hale getirdikleri sonucuna vardılar (bkz:: Ukrayna, Rusya’nın Siber Casusluk Konusunda Artan Odaklanmasını İzliyor).
Gamaredon kötü amaçlı yazılımının bazı sürümleri yüklendikten sonra, varsa Pterodo olarak bilinen Gamaredon arka kapısını USB sürücülere kopyalamak için bir PowerShell betiği kullanır.
Araştırmacılar tarafından gözlemlenen PowerShell betiği, kendisini virüslü makineye kopyalar ve bir kısayol dosyası oluşturur. rtk.lnk eklenti. Bu komut dosyaları kullanır porn_video.rtf.lnk, do_not_delete.rtf.lnk Ve as file names to entice individuals to open the files. These file names are generally in Ukrainian, but some are also in English.
Araştırmacılar ayrıca, saldırganların komuta ve kontrol sunucuları olarak hareket etmek için Telegram mesajlaşma hizmeti de dahil olmak üzere yasal hizmetlerden yararlandığını gözlemledi. Gamaredon ayrıca C2 adreslerini depolamak için Telegram’ın Telegraph adlı mikroblog platformunu kullanır.
Tehdit grubu, Symantec’in faaliyetlerini izlemek için kullanılabileceğini söylediği bazı ortak noktalara sahip SSL sertifikaları kullanıyor. Buna ek olarak araştırmacılar, Gamaredon tarafından yaygın olarak kullanılan ve kurban ağlarına konuşlandırılmış bir bilgi çalma aracı olan Giddome’u da tespit ettiler.