Rus tehdit aktörleri, Ukrayna yanlısı bilgisayar korsanlarının Rus sitelerine karşı dağıtılmış hizmet reddi (DDoS) saldırıları başlatması için bir uygulama olarak kamufle edilmiş Android kötü amaçlı yazılımlarını dağıtmak için Ukrayna’ya karşı devam eden çatışmadan yararlandı.
Google Tehdit Analizi Grubu (TAG), kötü amaçlı yazılımı Krypton, Venomous Bear, Waterbug ve Uroburos olarak da bilinen ve Rusya Federal Güvenlik Servisi’ne (FSB) bağlı gelişmiş bir kalıcı tehdit olan Turla’ya bağladı.
TAG araştırmacısı Billy Leonard, “Bu, Turla’nın Android ile ilgili kötü amaçlı yazılımları dağıttığı bilinen ilk örnektir” dedi. “Uygulamalar Google Play Store aracılığıyla dağıtılmadı, ancak aktör tarafından kontrol edilen bir etki alanında barındırıldı ve üçüncü taraf mesajlaşma servislerindeki bağlantılar aracılığıyla yayıldı.”
Rusya’nın sebepsiz yere Ukrayna’yı işgal etmesinin hemen ardından meydana gelen siber saldırıların, Ukrayna’yı Rus web sitelerine karşı DDoS saldırıları düzenlemek için bir BT Ordusu kurmaya teşvik ettiğini belirtmekte fayda var. Görünüşe göre Turla operasyonunun amacı, gönüllülerin yürüttüğü bu çabayı kendi çıkarları için kullanmak.
Tuzak uygulaması, Ukrayna Ulusal Muhafızları’nın bir birimi olan Azak Alayı olarak maskelenen bir etki alanında barındırıldı ve dünyanın dört bir yanından insanlara ait web sunucularına hizmet reddi saldırısı başlatarak “Rusya’nın saldırganlığı” ile savaşmaya çağırdı. “Rus web sitelerinin kaynaklarını boğması için.”
Google TAG, oyuncuların “stopwar” adlı bir web sitesi aracılığıyla dağıtılan başka bir Android uygulamasından ilham aldıklarını söyledi.[.]Ayrıca, hedef web sitelerine sürekli olarak istek göndererek DoS saldırılarını gerçekleştirmek için tasarlanmıştır.
Bununla birlikte, kötü niyetli Cyber Azov uygulamasının yüklenme sayısı çok azdır ve Android kullanıcıları üzerinde önemli bir etki yaratmaz.
Ayrıca, Sandworm grubu (aka Voodoo Bear), barındırılan Microsoft Office belgelerine işaret eden bağlantılar göndermek için Microsoft Windows Destek Tanılama Aracı’ndaki (MSDT) Follina güvenlik açığından (CVE-2022-30190) yararlanan ayrı bir dizi kötü amaçlı etkinliğe bağlandı. Ukrayna’daki medya kuruluşlarını hedefleyen güvenliği ihlal edilmiş web sitelerinde.
Geçen ay CERT-UA’nın bir Follina istismarı taşıyan vergi temalı belgeleri dağıtma konusunda uyardığı bir tehdit aktörü olan UAC-0098’in, IcedID bankacılık truva atını yaymaktan sorumlu Conti grubuyla bağları olan eski bir ilk erişim komisyoncusu olduğu da değerlendirildi. .
Diğer siber etkinlik türleri arasında, COLDRIVER (aka Callisto) olarak adlandırılan bir düşman tarafından hükümet ve savunma yetkililerine, politikacılara, STK’lara ve düşünce kuruluşlarına ve gazetecilere yönelik olarak düzenlenen kimlik avı saldırıları yer alır.
Bunlar, kimlik avı etki alanı dahil olmak üzere doğrudan e-posta göndermeyi veya Google Drive ve Microsoft OneDrive’da barındırılan belgelere bağlantılar içeren ve sırayla şifreleri çalmak için tasarlanmış, saldırgan tarafından kontrol edilen bir web sitesine bağlantılar içeren e-postaları içerir.
Son gelişmeler, Rus tehdit aktörlerinin gelişen tekniklerini vurgulayacak şekilde hedefleme girişimlerinde artan karmaşıklığın sürekli belirtilerini nasıl sergilediklerinin bir başka göstergesidir.