Hesaplanan bir siber-ihale kampanyasında, GRU’ya (Rusya’nın ana istihbarat müdürlüğü) bağlı Rus devlet destekli hack grubu Sandworm (APT44), Ukrayna pencereleri sistemlerini hedeflemek için korsan Microsoft Key Management Service (KMS) aktivasyon araçlarını kullanıyor.
2023’ün sonlarından bu yana aktif olan bu işlem, büyük ölçekli veri hırsızlığı ve casusluk sağlayan arka sipariş yükleyici ve koyu kristal uzaktan erişim Truva (DCRAT) dahil olmak üzere kötü amaçlı yazılımları dağıtmak için truva atılmış KMS aktivatörleri ve sahte Windows güncellemeleri kullanır.
Kötü amaçlı yazılım enfeksiyon zinciri
Saldırı, Windows lisans kısıtlamalarını atlamak isteyen kullanıcılar tarafından sıkça kullanılan torrent platformları aracılığıyla dağıtılan kötü amaçlı bir zip dosyası olan “KMSAUTO ++ x64_V1.8.4.zip” ile başlar.
Yürütüldükten sonra, araç arka plan yükleyicisini arka planda gizlice dağıtırken meşru bir Windows etkinleştirme arayüzünü taklit eder.
Bu yükleyici, PowerShell komutlarını kullanarak Windows Defender’ı devre dışı bırakır ve algılamadan kaçınmak için kara ikili dosyalarından (lolbins) yaşamaya çalışır.
Daha sonra “KMSupdate2023 gibi saldırgan kontrollü alanlardan DCRAT’ı indirir[.]com. “
DCRAT, saldırganların tuş vuruşları, tarayıcı kimlik bilgileri, sistem bilgileri ve ekran görüntüleri dahil olmak üzere hassas verileri sunmalarını sağlar.
Kötü amaçlı yazılım ayrıca, sistem yeniden başlatmalarında veya oturum açmalarında sürekli çalışmayı sağlayan planlanmış görevler oluşturarak kalıcılık oluşturur.
Kampanyanın nihai hedefi, bireyler, kuruluşlar ve Ukrayna’nın eleştirel altyapısına önemli güvenlik riskleri oluşturarak enfekte olmuş sistemlerden kritik zeka toplamaktır.
Korsan yazılımın stratejik sömürüsü
Ukrayna’nın kamu sektöründe% 70 olduğu tahmin edilen lisanssız yazılımların yaygın kullanımı, bu tür saldırılar için verimli bir zemin yaratmıştır.
Ekonomik kısıtlamalar genellikle işletmeleri ve devlet kuruluşlarını korsan yazılıma güvenmeye zorlar ve yanlışlıkla kum kurdu gibi düşmanlar için saldırı yüzeyini genişletir.
Kötü amaçlı yazılımları KMS aktivatörleri gibi yaygın olarak kullanılan araçlara yerleştirerek, Sandworm hem kişisel hem de kurumsal ağlara başarıyla sızmıştır.
Araştırmacılar, bu kampanyayı üst üste binen altyapı, tutarlı taktikler, teknikler ve prosedürler (TTP) ve Rusça dili yapım ortamlarına atıfta bulunan hata ayıklama sembollerine dayanarak sandworm’a güçlü bir şekilde bağladılar.
Grup, Ukrayna’nın kritik altyapısını hedefleyen kimlik avı saldırıları da dahil olmak üzere geçmişte benzer kampanyalara da bağlanmıştır.
Bu operasyon, siber operasyonların fiziksel ve ekonomik baskıları tamamladığı Rusya’nın daha geniş hibrit savaş stratejisinin altını çiziyor.
SOC Prime’a göre, Ukrayna’nın korsan yazılıma olan bağımlılığını hedefleyerek, Sandworm sadece bireysel kullanıcıları tehlikeye atmakla kalmaz, aynı zamanda ulusal güvenlik ve esnekliği de tehdit eder.
Bu tür tehditlere karşı koymak için, siber güvenlik uzmanları korsan yazılımlardan kaçınmayı ve uç nokta algılama araçları ve ağ izleme sistemleri gibi sağlam güvenlik önlemlerinin uygulanmasını önerir.
Kuruluşların ayrıca, kolektif siber savunmada uzmanlaşmış platformlar tarafından sunulanlar gibi proaktif tehdit algılama çerçeveleri benimsemeleri istenmektedir.
Devam eden kampanya, Sandworm gibi devlet destekli hack gruplarının gelişen taktiklerini vurgulamakta ve yöntemlerini Ukrayna gibi hedeflenen bölgelerdeki yöntemlerini geliştirirken potansiyel küresel etkileri hakkında endişelerini dile getirmektedir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free