%20To%20Hack%20Windows%20Systems.webp?w=696&resize=696,0&ssl=1 "Rus hackerlar, Windows Systems'ı kesmek için silahlandırılmış Microsoft Anahtar Yönetim Hizmetinden (KMS) yararlanır")
Rus destekli bilgisayar korsanları, özellikle Sandworm APT Grubu (APT44 veya UAC-0145 olarak da bilinir), Ukrayna’daki Windows sistemlerine sızmak için silahlandırılmış Microsoft Anahtar Yönetim Hizmeti (KMS) aktivatörlerini kullanıyor.
2023’ün sonlarından beri aktif olan bu kampanya, kötü amaçlı yazılım dağıtmak için korsan KMS araçlarını ve sahte Windows güncellemelerini kullanıyor ve Ukrayna’nın kritik altyapısını daha da istikrarsızlaştırıyor.
Rusya’nın Ana İstihbarat Müdürlüğü’ne (GRU) bağlı kum kurdu grubu, on yılı aşkın bir süredir Ukrayna örgütlerini hedefliyor.
Tam ölçekli istiladan bu yana, devlet organlarına ve kritik altyapıya odaklanarak saldırıları yoğunlaştı.
SOC Prime’daki güvenlik uzmanları, bu grubun küresel olarak konuşlandırmadan önce Ukrayna’daki taktiklerini geliştirdiği bilindiğini tespit etti.
Saldırı zinciri
Saldırganlar, Windows lisansını atlamayı hedeflemek için meşru aktivasyon araçları olarak gizlenen “KMSAuto ++ x64_V1.8.4.zip” gibi truva atlı KMS aktivatörlerini kullanıyor.
Genellikle torrent alanları ve Ukrayna konuşan forumlardan yayılan bu kötü niyetli dosyalar, yürütüldüğünde bir enfeksiyon zinciri başlatır.
İşlem, Windows Defender’ı devre dışı bırakan ve algılamadan kaçınmak için kara ikili dosyalarından (Lolbins) yaşayan bir yükleyici olan Backorder’ı dağıtmakla başlar.
Daha sonra arka sipariş, planlanan görevler ve yüksek işlemler yoluyla kalıcılığı korurken hassas verileri dışarı atmak için bir komut ve kontrol (C2) sunucusuna bağlanan son yük olan DarkCrystal Rat’ı (DCRAT) sunar.
Uzun vadeli erişimi daha da sağlamak için, kötü amaçlı yazılım planlanmış görevler oluşturur ve meşru sistem süreçlerine karışır.
Ek olarak, araştırmacılar, Windows güncellemesi olarak maskelenen yazım hatalı bir alandan dağıtılan Kalambur adlı yeni bir arka kapı tanımladılar.
Kalanbur, yeniden paketlenmiş bir Tor ikili ve diğer saldırgan kontrollü araçları indirerek tehdit manzarasını daha da genişletiyor.
Bu tehditlerle mücadele etmek için, güvenlik ekipleri Sigma kurallarını ve çoklu güvenlik analizi çözümleriyle uyumlu algılama araçlarını kullanabilir.
Bu araçlar, MITER ATT \ & CK çerçevesine eşlenir ve tehdit istihbaratı ve triyaj önerileri için kapsamlı meta veriler sağlar.
Bu taktikler rafine etmeye ve yayılmaya devam ettikçe, kuruluşların bilgilendirilmeleri ve bu tür sofistike saldırılara karşı korumak için gelişmiş tehdit algılama araçlarını kullanması çok önemlidir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free