Rus siber tehdit aktörleri, 2022’den beri Batı lojistik kuruluşlarını ve teknoloji şirketlerini hedefleyen devlet destekli bir kampanyaya atfedildi.
Etkinliğin, Rusya Genel Personel Ana İstihbarat Müdürlüğü (GRU) 85. Ana Özel Servis Merkezi, Askeri Birim 26165 ile bağlantılı olan APT28 (diğer adıyla Bluedelta, Fantezi Ayı veya Orman Blizzard) tarafından düzenlendiği değerlendirilmiştir.
Avustralya, Kanada, Czechia, Danimarka, Estonya, Fransa, Almanya, Hollanda, Polonya, Birleşik Krallık ve Birleşik Devletler tarafından yayınlanan ortak bir danışmanlığa göre, kampanyanın hedefleri Ukrayna’ya koordinasyon, ulaşım ve yabancı yardımın sunulması ile ilgili şirketleri içerir.
Bulletin, “Lojistik kuruluşlarını ve teknoloji şirketlerini hedefleyen bu siber casusluk odaklı kampanya, daha önce açıklanan TTP’lerin bir karışımını kullanıyor ve muhtemelen bu aktörlerin Ukrayna’daki IP kameralarının geniş ölçekli hedeflemesine bağlı ve Nato ulusları sınırlıyor.” Dedi.
Uyarı, Fransa’nın dışişleri bakanlığının APT28’i, 2021’den beri ulusu istikrarsızlaştırmak amacıyla bakanlıklar, savunma firmaları, araştırma kuruluşları ve düşünce tankları da dahil olmak üzere bir düzine varlığa siber saldırılar yapmakla suçlamasından haftalar sonra geliyor.
Daha sonra geçen hafta ESET, 2023 yılından bu yana, Afrika, Horde, MDAemon ve Zimbra gibi çeşitli webmail hizmetlerinde, Afrika, Avrupa ve Güney Amerika’daki Valkalarda tek dışa gelen hükümet kuruluşları ve savunma şirketlerine, 2023’ten beri devam ettiğini söylediği Roundpress Operasyonu olarak adlandırılan bir kampanya çıkardı.
En son danışmanlığa göre, APT28 tarafından düzenlenen siber saldırıların, casusluk amaçları için şifre püskürtme, mızrak aktı ve Microsoft Exchange posta kutusu izinlerini değiştirmesinin bir kombinasyonunu içerdiği söyleniyor.
Kampanyanın temel hedefleri arasında NATO Üye Devletleri ve Ukrayna’da savunma, ulaşım, denizcilik, hava trafik yönetimi ve BT hizmetleri dikeylerini kapsayan kuruluşlar yer alıyor. Bulgaristan, Çekya, Fransa, Almanya, Yunanistan, İtalya, Moldova, Hollanda, Polonya, Romanya, Slovakya, Ukrayna ve Amerika Birleşik Devletleri’nde hedeflendiği tahmin ediliyor.
Hedeflenen ağlara ilk erişimin yedi farklı yöntemden yararlanarak kolaylaştırıldığı söyleniyor –
- Kimlik bilgilerini tahmin etmek için kaba kuvvet saldırıları
- Ücretsiz üçüncü taraf hizmetlerinde veya tehlikeye atılan Soho Cihazlarında barındırılan sahte oturum açma sayfalarını ve Western Bulut E-posta Sağlayıcıları Kullanarak Kimlik Bilgilerini Hasat Etme Saldırıları
- Kötü amaçlı yazılım sunmak için mızrak aktı saldırıları
- Outlook NTLM güvenlik açığının sömürülmesi (CVE-2023-23397)
- Roundcube güvenlik açıklarının sömürülmesi (CVE-2020-12641, CVE-2020-35730, CVE-2021-44026)
- Kamu güvenlik açıkları ve SQL enjeksiyonu kullanan kurumsal VPN’ler gibi internete dönük altyapının sömürülmesi
- Winrar Güvenlik Açığının Sömürü (CVE-2023-38831)
Birim 26165 aktörler yukarıdaki yöntemlerden birini kullanarak dayanak kazandıktan sonra, saldırılar, kilit pozisyonlardaki ek hedefleri, ulaşımı koordine etmekten sorumlu bireyler ve mağdur varlığı ile işbirliği yapan diğer şirketleri tanımlamak için keşif sonrası aşamaya devam eder.
Saldırganlar ayrıca yanal hareket için Impacket, Psexec ve Uzak Masaüstü Protokolü (RDP) gibi araçların yanı sıra Active Directory’den bilgileri ekspiltrat etmek için CertiPy ve Adexplorer.exe kullanılarak gözlemlenmiştir.
Ajanslar, “Oyuncular, Office 365 kullanıcılarının listelerini bulmak ve sunmak ve sürekli e -posta toplama oluşturma adımları atacaklar.” “Aktörler, tehlikeye atılan lojistik kuruluşlarında sürekli e -posta toplama oluşturmak için posta kutusu izinlerinin manipülasyonunu kullandılar.”
Saldırıların bir diğer dikkat çekici özelliği, tehlikeye atılan konakçılar ve hasat hassas bilgiler üzerinde kalıcılık oluşturmak için Headlace ve Masepie gibi kötü amaçlı yazılım ailelerinin kullanılmasıdır. Oceanmap ve Steelhook gibi kötü amaçlı yazılım varyantlarının doğrudan lojistiği veya BT sektörlerini hedeflemek için kullanıldığına dair bir kanıt yoktur.
Veri açığa çıkması sırasında, tehdit aktörleri, toplanan verileri kendi altyapılarına yüklemek veya Exchange Web Hizmetleri (EWS) ve İnternet Mesaj Erişim Protokolü’nü (IMAP) e -posta sunucularından sifon bilgilerine kullanmak için zip arşivleri oluşturmak için PowerShell komutlarını kullanan, mağdur ortamına dayanan farklı yöntemlere güvenmiştir.
Ajanslar, “Rus askeri güçleri askeri hedeflerini karşılayamadığı ve Batı ülkeleri Ukrayna’nın bölgesel savunmasını desteklemek için yardım sağladıkça, 26165 birim, yardım teslimi ile ilgili lojistik kuruluşlarını ve teknoloji şirketlerini hedeflemesini genişletti.” Dedi. Diyerek şöyle devam etti: “Bu aktörler ayrıca yardım gönderilerini izlemek ve izlemek için Ukrayna sınır geçişlerinde internete bağlı kameraları hedef aldı.”
Açıklama, Cato Networks’ün şüpheli Rus tehdit aktörlerinin, kullanıcıları lumma çanta indirmek için hile yapmak için ClickFix tarzı lazları kullanan sahte Recaptcha sayfalarını barındırmak için Dicle Nesne Depolama, Oracle Cloud Altyapı (OCI) Nesne Depolama ve Scaleway Nesne Depolama’dan yararlandığını ortaya koymasıyla ortaya çıkıyor.
Araştırmacılar Guile Domingo, Guy Waizel ve Tomer Agayev, “Son kampanya Dicle Nesne Depolama, OCI Nesne Depolama ve Scaleway Nesne Depolama ve Scaleway Nesne Depolama’dan daha önceki yöntemler oluşturuyor,” teknik olarak yetkin kullanıcıları hedeflemeyi ve hedeflemeyi amaçlayan yeni dağıtım mekanizmaları getiriyor. “Dedi.