APT28 (Fantezi Ayı/Orman Blizzard) hacker’larına atfedilen Rus devlet destekli bir siber başlık kampanyası, 2022’den beri Ukrayna’ya yardım çabalarını ortadan kaldırmak için uluslararası kuruluşları hedefliyor ve tehlikeye atıyor.
Bilgisayar korsanları, 12 Avrupa ülkesinde ve Amerika Birleşik Devletleri’nde savunma, ulaşım, BT hizmetleri, hava trafiği ve deniz sektörlerindeki varlıkları hedef aldı.
Buna ek olarak, bilgisayar korsanları, kilit yerlere (örneğin sınır geçişleri, askeri tesisler, demiryolu istasyonları) kurulan özel kameralara erişimden ödün vererek malzemelerin Ukrayna’ya hareketini izliyorlar.
Yaklaşık bir düzine ülkedeki 21 istihbarat ve siber güvenlik ajansından ortak bir danışma, saldırılarda kullanılan APT28’in (Rus Gru 85. GTSSS, Askeri Birim 26165) taktiklerini, tekniklerini ve prosedürlerini paylaşıyor.
Gizli saldırılar için TTP’leri karıştırmak
Raporda, 2022’den bu yana Rus APT28 tehdit oyuncusu, kuruluşları tehlikeye atmak için şifre püskürtme, mızrak aktı ve Microsoft Exchange güvenlik açığı gibi taktikler kullandığını belirtti.
Ana hedeften ödün verdikten sonra, bilgisayar korsanları, birincil kurbanla iş bağlarıyla ulaşım sektöründeki diğer kuruluşlara “ek erişim elde etmek için güven ilişkilerinden yararlanarak” saldırdılar.
Buna ek olarak, APT28 ayrıca yardım gönderilerini izlemek için Ukrayna sınır geçişlerinde internet bağlantılı kameraları da tehlikeye attı.
Hedeflenen organizasyonlar Amerika Birleşik Devletleri, Bulgaristan, Çekya, Fransa, Almanya, Yunanistan, İtalya, Moldova, Hollanda, Polonya, Romanya, Slovakya ve Ukrayna’da bulunmaktadır.
Rapora göre, bilgisayar korsanları aralarında birden fazla teknik kullanarak ilk erişim elde etti:
- Kimlik bilgisi tahmin veya kaba kuvvet
- Kimlik bilgileri için mızrak aktı
- Kötü amaçlı yazılım sunmak için mızrak aktı
- Outlook NTLM Güvenlik Açığı CVE-2023-23397
- Roundcube Open-Source Webmail Yazılımında Güvenlik Açıklıkları (CVE-20120-12641, CVE-20120-35730, CVE-2021-44026) kaldırma
- Kamu güvenlik açıkları ve SQL enjeksiyonu yoluyla internete dönük altyapı, kurumsal VPN’ler de dahil olmak
- Winrar Güvenlik Açığı Malzemesi CVE-2023-38831
Saldırının kökenini gizlemek için APT28, iletişimlerini hedefe yakın olan tehlikeye atılmış küçük ofis/ev ofis cihazları aracılığıyla yönlendirdi.
Kurban ağına girdikten sonra, bilgisayar korsanları ek hedefleri belirlemek için iç temasların (siber güvenlik, ulaşım koordinasyonu ve ortak şirketlerde) keşiflerini yaptı.
Yanal hareket ve veri çıkarma için, Active Directory bilgilerini yaymak için PSEXEC, Impacket, Uzak Masaüstü Protokolü, Sertifika ve Adexplorer gibi yerel komutlar ve açık kaynak araçları kullanıldı.
Ayrıca e -posta toplamak için Office 365 kullanıcılarının listelerini buldular ve açıkladılar. Bir e-posta hesabına eriştikten sonra APT28, “tehlikeye atılan hesapların güven düzeyini artırmak ve sürekli erişimi sağlamak için MFA mekanizmalarına tehlikeye atılan hesapları kaydedecektir.”
İlk erişimi kazandıktan bir adım sonra, gönderen ve alıcı, kargo içeriği, seyahat rotaları, konteyner kayıt numaraları ve hedefi içeren Ukrayna’ya yardım gönderileri hakkında hassas bilgilere erişimi olan hesaplara girmekti.
Kampanya sırasında kullanılan kötü amaçlı yazılımlar arasında araştırmacılar başlık ve masepie backrods’ı gözlemlediler.
Bilgisayar korsanları, mağdur ortamına bağlı olarak her birinin seçimi hem de hem arazi (LOTL) ikili dosyaları hem de kötü amaçlı yazılımlar dahil olmak üzere verileri sunmak için birden fazla yöntem kullandılar.
Bazı durumlarda, kurban, güvenilir ve meşru protokoller, yerel altyapı ve zaman ayırma oturumları arasında yakın altyapıya güvenerek gizli korumayı başardılar.
Bağlı kamerayı hedefleme
Casusluk kampanyasının bir kısmı, malzemelerin Ukrayna’ya hareketini izlemek için muhtemelen kamera yayınlarını (özel, trafik, askeri tesisler, demiryolu istasyonları, sınır geçişi) hacklemektir.
Devlet kurumlarının raporu, Ukrayna’da% 80’in üzerinde bulunan 10.000’den fazla kameranın hedeflendiğini ve ardından Romanya’da neredeyse bin olduğunu belirtiyor.
Google Tehdit İstihbarat Grubu baş analisti John Hultquist, BleepingComputer’a savaş alanına desteği tanımlamaya olan ilginin yanı sıra, tehdit oyuncunun amacının da “fiziksel veya siber yollarla desteği” bozmak olduğunu söyledi.
“Bu olaylar diğer ciddi eylemlerin öncüsü olabilir,” dedi Hultquist, Ukrayna’ya maddi yardım gönderme sürecine katılan herkesin “kendilerini hedefli olduğunu düşünmesi” konusunda bir uyarı ekledi.
Ortak siber güvenlik danışmanlığı, genel güvenlik azaltmalarını ve tespitleri ve kullanılan komut dosyaları ve yardımcı programlar için bir dizi uzlaşma göstergesini, tehdit oyuncusu tarafından yaygın olarak kullanılan e -posta sağlayıcıları, kötü amaçlı arşiv dosya adları, IP adresleri ve Outlook Sökme ayrıntılarını içerir.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.