olarak bilinen Rus siber casusluk grubu. Kule Ukrayna’daki hedeflere kendi keşif ve arka kapı araçlarını teslim etmek için on yıllık bir kötü amaçlı yazılım tarafından kullanılan saldırı altyapısına bindirildiği gözlemlendi.
Operasyonu kategorize edilmemiş küme adı altında izleyen, Google’a ait Mandiant UNC4210ele geçirilen sunucuların, 2013 yılında VirusTotal’a yüklenen ANDROMEDA (namı diğer Gamarue) adlı ticari bir kötü amaçlı yazılımın bir çeşidine karşılık geldiğini söyledi.
Mandiant araştırmacıları geçen hafta yayınlanan bir analizde, “UNC4210, süresi dolmuş en az üç ANDROMEDA komuta ve kontrol (C2) alanını yeniden kaydetti ve kurbanların KOPILUWAK ve QUIETCANARY’yi seçerek konuşlandırmak için profillerini Eylül 2022’de çıkarmaya başladı” dedi.
Demir Avcısı, Krypton, Uroburos, Venomous Bear ve Waterbug adlarıyla da bilinen Turla, çok sayıda özel kötü amaçlı yazılım kullanarak öncelikle hükümet, diplomatik ve askeri kuruluşları hedef alan seçkin bir ulus-devlet birliğidir.
Rusya’nın Şubat 2022’de Ukrayna’ya yönelik askeri işgalinin başlamasından bu yana, hasım kolektif, ülkede bulunan varlıkları hedef alan bir dizi kimlik bilgisi oltalama ve keşif çabalarıyla ilişkilendirildi.
Temmuz 2022’de Google’ın Tehdit Analizi Grubu (TAG), Turla’nın Ukrayna yanlısı bilgisayar korsanlarının Rus sitelerine dağıtılmış hizmet reddi (DDoS) saldırıları başlatmasına “yardımcı” olduğu varsayılan kötü amaçlı bir Android uygulaması oluşturduğunu ortaya çıkardı.
Mandiant’ın son keşfi, Turla’nın kötü amaçlı yazılım dağıtım mekanizması olarak eski virüsleri gizlice kullandığını ve ANDROMEDA’nın virüslü USB anahtarları aracılığıyla yayılması gerçeğinden faydalandığını gösteriyor.
Tehdit istihbaratı firması, “USB yayan kötü amaçlı yazılım, kuruluşlara ilk erişim sağlamak için yararlı bir vektör olmaya devam ediyor” dedi.
Mandiant tarafından analiz edilen olayda, Aralık 2021’de adı açıklanmayan bir Ukraynalı kuruluşa virüslü bir USB belleğin yerleştirildiği ve bunun sonucunda, kötü niyetli bir bağlantı (.LNK) dosyasının maskelenmesi başlatıldığında ana bilgisayarda eski bir ANDROMEDA yapısının konuşlandırılmasına yol açtığı söyleniyor. USB sürücü içinde bir klasör olarak.
Ardından tehdit aktörü, ANDROMEDA’nın feshedilmiş C2 altyapısının bir parçası olan ve Ocak 2022’de yeniden kaydettirdiği atıl alanlardan birini, JavaScript tabanlı bir ağ keşif aracı olan birinci aşama KOPILUWAK dropper’ı sunarak kurbanın profilini çıkarmak için yeniden kullandı.
İki gün sonra, 8 Eylül 2022’de, QUIETCANARY (namı diğer Tunnus) olarak adlandırılan .NET tabanlı bir implantın yürütülmesiyle saldırı son aşamaya geçti ve 1 Ocak 2021’den sonra oluşturulan dosyaların dışarı sızmasıyla sonuçlandı.
Turla’nın kullandığı zanaat, grubun Rus-Ukrayna savaşıyla aynı zamana denk gelen kapsamlı kurban profili çıkarma çabalarına ilişkin önceki raporlarla örtüşüyor ve potansiyel olarak grubun, Rusya’yı ilgilendiren bilgileri toplamak için devam eden istismar çabalarını uyarlamasına yardımcı oluyor.
Aynı zamanda, kendi stratejik hedeflerini gerçekleştirmek için farklı bir kötü amaçlı yazılım kampanyasının kurbanlarını hedef alan ve aynı zamanda rolünü gizleyen bir bilgisayar korsanlığı biriminin belirlendiği ender örneklerden biridir.
Araştırmacılar, “Eski ANDROMEDA kötü amaçlı yazılımı, güvenliği ihlal edilmiş USB cihazlarından yayılmaya devam ettikçe, bu yeniden kaydedilen alanlar, yeni tehdit aktörleri kontrolü ele geçirip kurbanlara yeni kötü amaçlı yazılımlar sunabileceği için risk oluşturuyor” dedi.
“Geniş çapta dağıtılan, mali amaçlı kötü amaçlı yazılımlar tarafından kullanılan, süresi dolmuş etki alanlarını talep etmeye yönelik bu yeni teknik, çok çeşitli varlıklarda devam eden uzlaşmalara olanak sağlayabilir. Ayrıca, daha eski kötü amaçlı yazılımların ve altyapının, çok çeşitli uyarıları tetikleyen savunucular tarafından gözden kaçma olasılığı daha yüksek olabilir. .”
COLDRIVER, ABD Nükleer Araştırma Laboratuvarlarını Hedefliyor
Bulgular, Reuters’in, COLDRIVER (Callisto veya SEABORGIUM olarak da bilinir) kod adlı başka bir Rus devlet destekli tehdit grubunun 2022’nin başlarında ABD’deki üç nükleer araştırma laboratuvarını hedef aldığını bildirmesiyle geldi.
Bu amaçla, dijital saldırılar, nükleer bilim adamlarını şifrelerini ifşa etmeleri için kandırmak amacıyla Brookhaven, Argonne ve Lawrence Livermore Ulusal Laboratuvarları için sahte oturum açma sayfaları oluşturmayı gerektirdi.
Taktikler, son zamanlarda İngiltere ve ABD’deki savunma ve istihbarat danışmanlık şirketlerinin yanı sıra STK’ların, düşünce kuruluşlarının ve yüksek öğrenim kurumlarının oturum açma sayfalarını taklit ederek maskesini düşüren bilinen COLDRIVER etkinliğiyle tutarlıdır.