UAC-0063: Silahlı belgeler, veri açığa çıkması ve gelişmiş kötü amaçlı yazılımlar da dahil olmak üzere, Orta Asya ve Avrupa’yı hedefleyen Rus bağlantılı bir tehdit aktörü.
Bitdefender, Rusya APT28 bağlantılı tehdit oyuncusu UAC-0063 tarafından aktif bir casusluk kampanyasını ortaya koyarak, hackread.com ile son araştırmasını paylaştı. Bitdefender’ın soruşturmasına göre, aktör özellikle Orta Asya’daki ve Almanya, İngiltere, Romanya ve Hollanda gibi Avrupa ülkelerinde çeşitli kötü amaçlı yazılım ve teknikleri içeren çok aşamalı bir saldırı sürecinde yüksek değerli varlıkları hedefliyor.
UAC-0063 en az 2021’den beri aktiftir ve devlet kuruluşları, diplomatik görevler ve özel şirketler de dahil olmak üzere çeşitli kuruluşları hedeflemiştir. Bu kampanyada aktör, ağlara sızmak için kötü amaçlı Microsoft Word belgeleri, bir hatvibe kötü amaçlı yazılım yükleyicisi ve özel olarak inşa edilmiş kötü amaçlı yazılımlar kullanır. Operasyonları, uzlaşmış sistemlere uzun vadeli erişimi sürdürmeye odaklanan kalıcılık ile karakterizedir.
Saldırı, kullanıcı tarafından etkinleştirildiğinde ilk kötü amaçlı yazılım yükünü (hatvibe yükleyici) sunan kötü niyetli makrolar içeren tehlikeye atılmış Microsoft Word belgeleriyle başlar. HatVibe, saldırganın komut ve kontrol (C2) sunucusundan daha fazla kötü amaçlı kod indiren ve yürüten bir HTA (HTML uygulaması) komut dosyasıdır.
Downexpyer, UAC-0063 saldırı zinciri boyunca yaygın olarak kullanılır. İlk enfeksiyon aşamasından sonra, muhtemelen hatvibe yükleyici veya diğer kötü amaçlı yazılım bileşenleri tarafından dağıtılır. Bu Python tabanlı kötü amaçlı yazılım, C2 sunucusu ile kalıcı iletişim kurar, komut alır ve enfekte olmuş sistemde kötü amaçlı işlemler yürütür.
Pyplunderplug, enfekte olmuş sisteme bağlı çıkarılabilir sürücülerden dosya toplamak için tasarlanmış ayrı bir komut dosyasıdır. Belirli dosya türlerine odaklanır ve bunları potansiyel pesfiltrasyon için bir sahneleme konumuna kopyalar.
Saldırganlar ayrıca, kurbanın girdiği tuş vuruşlarını yakalamak için anahtarlogerlar kullanıyor ve parolalar ve giriş bilgileri gibi hassas bilgileri potansiyel olarak ortaya koyuyor. Çalınan veriler daha sonra pesfiltrasyonu kolaylaştırmak ve kaçınma tespitini kolaylaştırmak için daha küçük arşivlere sıkıştırılır.
Araştırmacılar, aktörün enfeksiyonu yaymak için daha önce tehlikeye atılmış kurbanlardan yararlandığını belirtti. Bu, bir kurbandan kaynaklanan silahlandırılmış belgelerin diğer hedeflere saldırmak için kullanıldığı anlamına gelir. Ayrıca, kötü amaçlı yazılımlarının uzlaşmış sistemde kalıcılığını sağlamak için planlanmış görevler oluştururlar. Bu görevler, kötü amaçlı kodu otomatik olarak düzenli aralıklarla yürütür.
Araştırmacılar bu kampanyaya Rus hükümetinin katılımını ima ettiler.
UAC-0063’ün Arsenal “Downexpyer ve PyplunderPlug gibi sofistike implantlara sahip, iyi hazırlanmış TTP’lerle birleştiğinde, casusluk ve istihbarat toplantısına net bir odaklanma göstermektedir. Belirli bölgelerdeki devlet kuruluşlarının hedeflenmesi Potansiyel Rus stratejik çıkarları”Bitdefender araştırmacıları blog yazısında yazdı.
UAC-0063’ün ortaya koyduğu riskleri azaltmak için kuruluşlar, saygın kaynaklardan gelen yemleri sürekli olarak izleyerek, C2 alanlarını izleyerek ve ağ trafiğinin bu kötü niyetli alanlara ulaşmasını önlemek için DNS tabanlı engelleme mekanizmalarını uygulayarak tehdit zekalarını geliştirmelidir. Uygulama beyaz liste politikalarının uygulanması ve izinsiz giriş algılama ve önleme sistemlerinin (IDP’ler) dağıtılması, uç nokta ve ağ güvenliğini güçlendirmek için çok önemlidir.
İlgili Konular
- Ukraynalı hackerlar apt28 liderinin e -postası
- Rus hackerlar Firefox’u 0 gün kullanıyor Backdoor’u dağıtmak için
- Rus hackerlar Military Intel için Avrupa’da posta sunucularına çarptı
- GooseEgg Aracı ile Rus APT28 Windows Kusurdan yararlanıyor
- Rus hackerlar taktikleri değiştiriyor, ücretli kötü amaçlı yazılımlarla kurbanları hedef