Rus devlet destekli aktörler, casusluk operasyonu olduğundan şüphelenilenlerin bir parçası olarak bilgi çalan kötü amaçlı yazılımlarla Ukraynalı kuruluşlara saldırmaya devam ediyor.
Broadcom Software’in bir bölümü olan Symantec, kötü amaçlı kampanyayı, Actinium, Armageddon, Gamaredon, Primitive Bear ve Trident Ursa olarak da bilinen Shuckworm’u takip eden bir tehdit aktörüne bağladı. Bulgular, Ukrayna Bilgisayar Acil Müdahale Ekibi (CERT-UA) tarafından doğrulandı.
En az 2013’ten beri aktif olan tehdit aktörü, Ukrayna’daki kamu ve özel kuruluşları açıkça ayırmasıyla biliniyor. Saldırılar, 2022’nin sonlarında Rusya’nın askeri işgalinin ardından hızlandı.
En son saldırı setinin 15 Temmuz 2022’de başladığı ve 8 Ağustos’a kadar devam ettiği ve enfeksiyon zincirlerinin haber bültenleri ve savaş emirleri olarak gizlenmiş kimlik avı e-postalarından yararlandığı ve sonuçta GammaLoad adlı bir PowerShell hırsız kötü amaçlı yazılımının yayılmasına yol açtığı söyleniyor. .PS1_v2.
Ayrıca, güvenliği ihlal edilmiş makinelere, her ikisi de, tespitten bir adım önde olmak amacıyla saldırganlar tarafından sürekli olarak yeniden geliştirilen ticari marka Shuckworm araçları olan Giddome ve Pterodo adlı iki arka kapı teslim edildi.
Özünde Pterodo, PowerShell komut dosyalarını yürütme, kalıcılığı korumak için zamanlanmış görevleri (shtasks.exe) kullanma ve bir komut ve kontrol sunucusundan ek kod indirme yeteneklerine sahip bir Visual Basic Komut Dosyası (VBS) bırakma kötü amaçlı yazılımıdır.
Öte yandan Giddome implantı, ses kaydetme, ekran görüntülerini yakalama, tuş vuruşlarını kaydetme ve virüslü ana bilgisayarlarda rastgele yürütülebilir dosyaları alma ve yürütme gibi çeşitli yeteneklere sahiptir.
Güvenliği ihlal edilmiş hesaplardan dağıtılan e-postalar aracılığıyla gerçekleşen izinsiz girişler, uzaktan erişimi kolaylaştırmak için Ammyy Admin ve AnyDesk gibi yasal yazılımlardan daha fazla yararlanır.
Bulgular, Gamaredon aktörünün, GammaLoad.PS1 dağıtım zincirini başlatmayı amaçlayan bir dizi sosyal mühendislik saldırısıyla ilişkilendirilmesiyle ortaya çıktı ve tehdit aktörünün web tarayıcılarında depolanan dosyaları ve kimlik bilgilerini çalmasını sağladı.
Symantec, “Ukrayna’nın Rus işgali altı ayın sonuna yaklaşırken, Shuckworm’un ülkeye uzun süredir odaklanması hız kesmeden devam ediyor gibi görünüyor” dedi.
“Shuckworm, taktiksel olarak en gelişmiş casusluk grubu olmasa da, Ukraynalı kuruluşları amansızca hedef alma konusundaki odaklanması ve ısrarı ile bunu telafi ediyor.”
Bulgular, Formbook ve Snake Keylogger gibi yükleri yürütmek için RelicRace adlı bir .NET indiricisinin kullanımını içeren “sistematik, büyük ve coğrafi olarak dağınık” kimlik avı saldırıları konusunda uyaran CERT-UA’nın bir uyarısını takip ediyor.