Rus İstihbaratı Hızlı Siber Saldırılarda Dünya Çapındaki Kurbanları Hedef Alıyor


Rus devlet korsanları, dört kıtaya yayılmış en az dokuz ülkede hedefli kimlik avı kampanyaları yürütüyor. E-postaları resmi hükümet işlerinin çığırtkanlığını yapıyor ve eğer başarılı olursa, yalnızca hassas kurumsal verileri değil, aynı zamanda stratejik öneme sahip jeopolitik istihbaratı da tehdit ediyor.

Böylesine karmaşık, çok yönlü bir komplo ancak bu kadar üretken bir grup tarafından işlenebilirdi. Fantezi Ayı (diğer adıyla APT28, Forest Blizzard, Frozenlake, Sofacy Group, Strontium, UAC-028 ve daha birçok takma ad), IBM X-Force'un ITG05 olarak takip ettiği yeni bir rapor.

İkna edici hükümet temalı yemlerin ve özel arka kapıların üç yeni çeşidinin yanı sıra, kampanya en çok hedeflediği bilgi açısından öne çıkıyor: Fancy Bear, Rus hükümetinin kullanımına yönelik son derece spesifik bilgileri hedefliyor gibi görünüyor.

Devlet Kimlik Avı Yemleri

Fancy Bear, Arjantin, Ukrayna, Gürcistan, Belarus, Kazakistan, Polonya, Ermenistan, Azerbaycan ve Amerika Birleşik Devletleri'ndeki kuruluşları hedef alan kampanyalarda en az 11 benzersiz yem kullanmıştır.

Yemler, finans, kritik altyapı, idari taahhütler, siber güvenlik, deniz güvenliği, sağlık hizmetleri ve savunma sanayii üretimi gibi geniş konuları kapsayan, uluslararası hükümetlerle ilişkili resmi belgelere benziyor.

Bunlardan bazıları meşru, kamuya açık belgelerdir. İlginç bir şekilde diğerleri belirli devlet kurumlarının bünyesinde yer alıyor gibi görünüyor ve bu da Fancy Bear'ın ilk etapta onları nasıl ele geçirdiği sorusunu gündeme getiriyor.

IBM X-Force'un tehdit avcısı Claire Zaboeva, “X-Force'un, ITG05'in kimliğine bürünülen kuruluşların güvenliğini başarıyla aşıp aşmadığına ilişkin öngörüsü yok” diyor. “ITG05'in dahili belgeleri toplamak için yetkisiz erişimden faydalanması mümkün olduğundan, Sorumlu Açıklama Politikamızın bir parçası olarak, faaliyetin tüm taklit taraflarını yayınlanmadan önce bilgilendirdik.”

Alternatif olarak Fancy Bear/ITGO5 yalnızca gerçek dosyaları taklit etmiş olabilir. “Örneğin, ortaya çıkarılan bazı belgelerde, resmi hükümet sözleşmeleri gibi görünen ana tarafların adlarının yanlış yazılması gibi gözle görülür hatalar yer alıyor” dedi.

Potansiyel Bir Motif mi?

Bu yemlerin bir diğer önemli özelliği de oldukça spesifik olmalarıdır.

İngilizce dil örnekleri arasında Gürcü bir STK'nın siber güvenlik politikası belgesi ve ABD Donanması'nın Pasifik Hint Okyanusu Nakliye Çalışma Grubu (PACIOSWG) katılımcıları için 2024 Toplantı ve Tatbikat Çanı Şamandırasını (XBB24) ayrıntılandıran Ocak ayı seyahat planı yer alıyor.

Ve finans temalı cazipler de var: Avrasya Ekonomik Birliği girişimiyle uyumlu olarak 2025 yılına kadar eyaletlerarası girişimi kolaylaştıracak ticari koşulların yaratılmasına yönelik tavsiyeler içeren bir Belarus belgesi, Arjantin Ekonomi Bakanlığı'nın bütçe politikası belgesi, ulusal ekonomi politikasına sahip başkan ve bu doğrultuda daha fazlası.

X-Force kampanyaya ilişkin raporunda, “ITG05'in yerleşik misyon alanı göz önüne alındığında, bütçe endişeleri ve küresel kuruluşların güvenlik duruşuyla ilgili hassas bilgilerin toplanması muhtemelen yüksek öncelikli bir hedeftir” dedi.

Örneğin Arjantin yakın zamanda BRICS (Brezilya, Rusya, Hindistan, Çin, Güney Afrika) ticaret organizasyonuna katılma davetini reddetti, dolayısıyla “ITG05'in Arjantin hükümetinin öncelikleri hakkında fikir verebilecek erişim elde etmeye çalışması mümkündür” ” dedi X-Force.

Sömürü Sonrası Faaliyet

Saldırganlar, spesifiklik ve meşruiyet görünümünün yanı sıra kurbanları tuzağa düşürmek için bir psikolojik numara daha kullanıyor: onlara başlangıçta belgenin yalnızca bulanık bir versiyonunu sunuyorlar. Aşağıdaki resimde olduğu gibi, alıcılar bu belgelerin resmi ve önemli göründüğünü anlamaya yetecek kadar ayrıntıyı görebilir, ancak bu, üzerlerine tıklama zorunluluğunu ortadan kaldıracak kadar yeterli değildir.

Saldırganların kontrolündeki sitelerdeki kurbanlar yem belgelerini görüntülemek için tıkladıklarında, “Masepie” adlı bir Python arka kapısını indiriyorlar. İlk olarak Aralık ayında keşfedilen bu özellik, bir Windows makinesinde kalıcılık oluşturma, dosyaların indirilmesine ve yüklenmesine ve isteğe bağlı komut yürütülmesine olanak sağlama kapasitesine sahiptir.

Masepie'nin virüslü makinelere indirdiği dosyalardan biri, İnternet Mesaj Erişim Protokolü (IMAP) aracılığıyla komut yürütmeye yönelik C# tabanlı bir araç olan “Oceanmap”tir. Oceanmap'in orijinal versiyonu – burada kullanılan değil – bilgi çalma işlevine sahipti ve o zamandan beri bu işlev çıkarılmış ve bu kampanyayla ilişkili Masepie tarafından indirilen diğer yük olan “Steelhook”a aktarılmıştır.

Steelhook, görevi bir web kancası aracılığıyla Google Chrome ve Microsoft Edge'den veri sızdırmak olan bir PowerShell betiğidir.

Fancy Bear'ın kötü amaçlı yazılımlarından daha dikkat çekici olanı, hızlı aksiyon alma yeteneğidir. Gibi ilk açıklanan Ukrayna'nın Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) tarafından, Fancy Bear kurbanın makinesine ilk saatte bulaşıyor, arka kapıları indiriyor ve geçiş saldırıları için çalıntı NTLMv2 karmaları aracılığıyla keşif ve yanal hareket gerçekleştiriyor.

Bu nedenle potansiyel mağdurların hızlı hareket etmeleri veya daha iyisi enfeksiyonlara karşı önceden hazırlanmaları gerekiyor. Bunu, IBM'in tavsiye listesini takip ederek yapabilirler: Fancy Bear'ın barındırma sağlayıcısı FirstCloudIT tarafından sunulan URL'lere sahip e-postaları ve bilinmeyen sunuculara giden şüpheli IMAP trafiğini izleyerek, CVE-2024-21413, CVE-2024 gibi tercih edilen güvenlik açıklarını ele alarak bunu yapabilirler. -21410, CVE-2023-23397, CVE-2023-35636 – ve çok daha fazlası.

Araştırmacılar, “ITG05, Rusya'ya acil politika kararları konusunda ileri düzeyde bilgi sağlamak için dünya hükümetlerine ve onların siyasi aygıtlarına yönelik saldırılardan yararlanmaya devam edecek” dedi.





Source link