Rus Hackerlar Arka Kapı İle Ukrayna Savunma Sektörünü Araştırıyor

Microsoft’a göre, Rus Turla hacker grubu, Ukrayna savunma sektörünü ve diğer Doğu Avrupa kuruluşlarını, muhtemelen casusluk için kullanılan ikincil yükleri dağıtmak için DeliveryCheck adlı yeni bir arka kapıyla hedef aldı.

Ayrıca bakınız: Savaş Sisi | Ukrayna Çatışması Siber Tehdit Ortamını Nasıl Dönüştürdü?

Microsoft’un Tehdit İstihbaratında güvenlik araştırmacıları söz konusu DeliveryCheck, kötü amaçlı makrolar içeren belgeler içeren e-posta aracılığıyla dağıtılan .NET tabanlı kötü amaçlı yazılımdır. Ukrayna Bilgisayar Acil Durum Müdahale Ekibi Microsoft’un bulgularını doğrulayarak, Microsoft’un DeliveryCheck ve Mandiant’ın Gameday olarak adlandırdığı Capibar adlı bir kötü amaçlı yazılım kullanarak savunma güçlerine yönelik hedefli siber saldırıları içeren faaliyetleri izlediğini söyledi.

CERT-UA, bu kötü amaçlı yazılım dağıtımının amacının öncelikle casusluk olduğunu söyledi.

Microsoft, “Bellekte indiren ve başlatan zamanlanmış bir görevle devam eder” dedi. “Ayrıca, XSLT stil sayfalarına gömülü rastgele yüklerin başlatılmasını içerebilen görevleri almak için bir C2 sunucusuyla iletişim kurar.”

Microsoft, ilk bulaşmanın ardından tehdit aktörünün aşağıdakiler gibi açık kaynaklı araçlar kullandığını gözlemlemiştir: rclone dosyaları toplamak ve dışarı sızdırmak için – veya bazı durumlarda – Kazuar olarak bilinen tam özellikli bir Secret Blizzard implantı kullanır.

CERT-UA, Kazuar arka kapısının yaklaşık 40 işlevi yerine getirebileceğini söyledi:

• Olay kaydı ve işletim sistemi günlük verilerinin alınması;
• gibi adli eserlerin toplanması compatibilityassistant, exploreruserassist, activitiescache, prefetchfiles Ve muicache;
• Kimlik bilgileri, yer imleri, otomatik doldurma, geçmiş, proxy’ler, tanımlama bilgileri, FileZilla, Chromium, Mozilla, Outlook, OpenVPN, sistem, WinSCP, Signal ve Git dahil olmak üzere kimlik doğrulama verilerini çalma;
• KeePass, Azure, Google Cloud, AWS ve Bluemix gibi uygulamaların veritabanlarını ve yapılandırma dosyalarını çalmak.

Microsoft, Rus dış istihbarat servisi FSB ile yakından ilişkili olduğu bilinen Turla hacker grubunun, popüler Signal Desktop mesajlaşma uygulamasından mesajlar içeren dosyaları sızdırmayı hedeflediğini söyledi. Microsoft, “bu, aktörün özel Signal konuşmalarının yanı sıra belgeleri, görüntüleri ve hedeflenen sistemlerdeki arşiv dosyalarını okumasına izin verecek” dedi. söz konusu.

Microsoft ayrıca tehdit grubunun, PowerShell İstenen Durum Yapılandırmasını kullanarak DeliveryCheck’in sunucu tarafı bileşenlerini yüklemek için Microsoft Exchange sunucularını hedeflediğini söyledi. “DSC, gömülü nesneyi yükleyen bir PowerShell betiği içeren bir Yönetilen Nesne Biçimi dosyası oluşturur. [.]NET yükünü belleğe alarak meşru bir sunucuyu etkili bir şekilde kötü amaçlı bir C2’ye dönüştürür [command and control] merkezi, Microsoft söz konusu.

CERT-UA, hack’in Turla’nın birkaç imzasına sahip olduğunu söyledi. “Taktiklerin, tekniklerin ve prosedürlerin özellikleri ve ayrıca Kazuar kötü amaçlı yazılımının kullanılması gerçeği dikkate alındığında, açıklanan faaliyetin Turla grubuyla ilişkilendirildiği yeterli bir güven düzeyi ile [also known as UAC-0003, KRYPTON, Secret Blizzard]CERT-UA, faaliyetlerini Rusya’nın FSB’si tarafından yönetilen” dedi.

CERT-UA ve Microsoft, kötü amaçlı yazılım örneklerinin tespit kolaylığı için güvenlik şirketleri arasında dağıtıldığını söyledi.

İkili, Information Security Media Group’un ek ayrıntılar talebine hemen yanıt vermedi.

Turla’nın casusluk kampanyaları için potansiyel kurbanları hedeflemek için yenilenmiş bir dizi özelleştirilmiş araç kullandığı biliniyor. 2020’de ABD Siber Komutanlığı ve Siber Güvenlik ve Altyapı Güvenliği Ajansı, dünya çapındaki devlet kurumlarını hedef almak için güncellenmiş ComRAT kötü amaçlı yazılımını kullanan Rus bilgisayar korsanlığı grubu hakkında uyarılar yayınladı (bkz: Rus Bilgisayar Korsanlarına Bağlı Güncel Kötü Amaçlı Yazılım).