Rus bilgisayar korsanlarının, Ukrayna ve müttefikleri hakkında casusluk yapmak için meşru uzaktan izleme ve yönetim yazılımı kullandıkları tespit edildi.
RMM programını kurbanların bilgisayarlarına indirmek ve çalıştırmak için gereken kötü amaçlı komut dosyaları, Microsoft’un “Minesweeper” oyununun meşru Python kodu arasında gizleniyor.
Devlet Özel İletişim Servisi kapsamında faaliyet gösteren Ukrayna Hükümeti Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), Rus siber suçluların, Ukrayna kuruluşlarının, özellikle de finans sektöründeki kuruluşların bilgi sistemlerine yetkisiz erişim sağlamak için meşru SuperOps RMM yazılım programını kullandığı konusunda uyardı. sektör.
Ukrayna Ulusal Bankası Siber Güvenlik Merkezi (CSIRT-NBU) ve CERT-UA, yaklaşık 33 megabayt boyutunda yürütülebilir bir dosya (.SCR) içeren bir Dropbox bağlantısıyla kurbanlara gönderilen kimlik avı e-postalarını kaydetti ve analiz etti. E-postalar şu adresten gönderildi:[email protected]Bir tıp merkezini taklit eden ve konu satırında “Tıbbi Dokümanların Kişisel Web Arşivi” yazan bir başlık vardı.
.SCR dosyası, Mayın Tarlası oyununun bir Python klonunun yanı sıra uzak bir kaynak olan “anotepad.com”dan ek komut dosyaları indiren kötü amaçlı Python kodunu içeriyordu. Mayın Tarlası kodu, gizli kötü amaçlı kodun kodunu çözmek ve yürütmek üzere yeniden tasarlanmış “create_license_ver” adlı bir işlev içeriyordu.
Meşru SuperOps RMM programı sonunda bir ZIP dosyasından indirilip kurulur ve böylece saldırganlara kurbanın bilgisayarına uzaktan erişim olanağı sağlanır.
CERT-UA, Avrupa ve ABD’deki finans ve sigorta kuruluşlarının adlarını taşıyan beş benzer dosya buldu ve bu, Şubat ve Mart 2024 arasında gerçekleşen bu siber saldırıların geniş bir coğrafi erişime sahip olduğunu gösteriyor. CERT-UA, bu tehdit faaliyetini UAC-0188 olarak tanımladığı bir aktöre kadar takip etti.
FRwL veya FromRussiaWithLove olarak da bilinen UAC-0118, 2022’deki Rusya-Ukrayna savaşı sırasında ortaya çıkan, Rusya devletine bağlı bir hacktivist tehdit aktörü grubudur. Öncelikle kritik altyapıyı, medyayı, enerjiyi ve devlet kuruluşlarını hedef aldılar.
FRwL daha önce, finansal kazanç yerine veri silecek olarak kullandıkları Vidar hırsızı ve Somnia fidye yazılımının kullanımıyla ilişkilendirilmişti. FRwL’yi Rusya Ana İstihbarat Müdürlüğü’ne bağlayan doğrudan bir kanıt bulunmamakla birlikte, faaliyetlerini devlet bağlantılı hacktivist gruplarla koordine etmeleri mümkündür.
Devam Eden Uzaktan İzleme Kampanyasına Karşı Olası Savunma
CERT-UA aşağıdakileri önermektedir:
- SuperOps RMM kullanmayan kuruluşlar, alan adlarıyla ilişkili ağ etkinliğinin olmadığını doğrulamalıdır: [.]süper operasyonlar[.]iletişim, [.]süper operasyonlar[.]AI.
- Çalışanların siber hijyenini iyileştirin.
- Anti-virüs yazılımı kullanın ve sürekli güncelleyin.
- İşletim sistemlerini ve yazılımlarını düzenli olarak güncelleyin.
- Güçlü şifreler kullanın ve bunları düzenli olarak değiştirin.
- Önemli verileri yedekleyin.
Ukrayna Finansal Kurumları da Smokeloader’ın Radarında
Mali motivasyona sahip UAC-0006 grubu, 2023 yılına kadar aktif olarak Ukrayna’yı hedef alan kimlik avı saldırıları başlattı. CERT-UA, 2024 baharında UAC-0006’nın yeniden ortaya çıktığını ve bilgisayar korsanlarının grubun araç setindeki yaygın bir kötü amaçlı yazılım olan Smokeloader’ı dağıtmaya çalıştığını bildirdi. Bu tehdit grubunun hedefi öncelikle kimlik bilgilerini çalmak ve yetkisiz fon transferleri gerçekleştirerek finansal sistemler için önemli bir risk oluşturmaktı.
SmokeLoader, Windows cihazlarına bulaşmak için güvenlik önlemlerini aşabilen kötü amaçlı bir bot uygulaması ve truva atıdır. Daha sonra diğer sorunların yanı sıra başka kötü amaçlı yazılımlar yükleyebilir, hassas verileri çalabilir ve dosyalara zarar verebilir.
2023 yılı boyunca UAC-0006, Ukrayna’ya karşı çeşitli kimlik avı kampanyaları düzenledi; finansal tuzaklardan yararlandı ve Smokeloader’ı dağıtmak için ZIP ve RAR eklerini kullandı.
CERT-UA geçen hafta UAC-0006 aktivitesindeki önemli artışa ilişkin bir uyarı daha yayınladı. Bilgisayar korsanları, Smokeloader’ı dağıtmak için önceki saldırılara benzer modeller sergileyen en az iki kampanya gerçekleştirdi. En son işlemler, yürütülebilir dosyaları içeren görüntüleri içeren ZIP arşivlerine sahip e-postaları ve diğer yürütülebilir dosyaları indirmek ve çalıştırmak için PowerShell komutlarını yürüten makroları içeren Microsoft Access dosyalarını içerir.
Saldırganlar, ilk erişimden sonra TALESHOT ve RMS dahil ek kötü amaçlı yazılımlar indiriyor. Botnet şu anda birkaç yüz virüslü bilgisayardan oluşuyor.
CERT-UA, uzaktan bankacılık sistemlerini içeren dolandırıcılık operasyonlarında bir artış öngörmekte ve bu nedenle muhasebecilerin otomatik iş istasyonlarının güvenliğinin artırılmasını ve enfeksiyon risklerini azaltmak için gerekli politika ve koruma mekanizmalarının uygulanmasının sağlanmasını şiddetle tavsiye etmektedir.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.