Rusya bağlantılı APT29 (namı diğer Cozy Bear) tehdit aktörünün, NATO üye ülkeleri, Avrupa Birliği ve Afrika’da bulunan dışişleri bakanlıkları ve diplomatik kuruluşları hedef alan devam eden bir siber casusluk kampanyasına atfedildi.
Polonya’nın Askeri Karşı İstihbarat Servisi ve CERT Polska ekibine göre, gözlemlenen etkinlik, Microsoft tarafından 2020’de SolarWinds’e yönelik yüksek profilli saldırısıyla tanınan Nobelium olarak izlenen bir küme ile taktiksel olarak örtüşüyor.
Nobelium’un operasyonları, “bireyleri, toplumu ve devleti dış tehditlerden” korumakla görevli bir kuruluş olan Rusya Dış İstihbarat Servisi’ne (SVR) atfedildi.
Bununla birlikte, kampanya, Kremlin destekli bilgisayar korsanlığı grubunun taktiklerinin bir evrimini temsil ediyor ve istihbarat toplamak için kurban sistemlerine sızmak için siber silahlarını geliştirmeye yönelik ısrarlı girişimleri gösteriyor.
Ajanslar, “Aynı anda ve birbirinden bağımsız olarak veya etkinliği azalanların yerine yeni araçlar kullanıldı, bu da aktörün sürekli, yüksek bir operasyonel tempoyu sürdürmesine izin verdi.”
Saldırılar, hedeflenen diplomatları bir davet veya toplantı kisvesi altında kötü amaçlı yazılım bulaşmış ekleri açmaya ikna etmeyi amaçlayan Avrupa büyükelçiliklerini taklit eden hedefli kimlik avı e-postalarıyla başlar.
PDF ekinin içine gömülmüş, EnvyScout (aka ROOTSAW) adlı bir HTML damlalığının konuşlandırılmasına yol açan bubi tuzaklı bir URL’dir ve bu daha sonra önceden bilinmeyen üç SNOWYAMBER, HALFRIG ve QUARTERRIG türünü iletmek için bir kanal olarak kullanılır.
Karanlık Web İstihbarat Toplama Sanatında Ustalaşın
Karanlık ağdan tehdit istihbaratı elde etme sanatını öğrenin – Uzmanlar tarafından yönetilen bu web seminerine katılın!
Koltuğumu Kurtar!
Recorded Future tarafından GraphicalNeutrino olarak da anılan SNOWYAMBER, komuta ve kontrol (C2) ve Brute Ratel gibi ek yükleri indirmek için Notion not alma hizmetini kullanır.
QUARTERRIG ayrıca, oyuncu tarafından kontrol edilen bir sunucudan yürütülebilir bir dosyayı alabilen bir indirici olarak da işlev görür. HALFRIG ise, içinde bulunan Cobalt Strike sömürü sonrası araç setini başlatmak için bir yükleyici görevi görür.
Açıklamanın, Avrupa Birliği ülkelerini hedef alan bir Nobelium kampanyasını detaylandıran ve “ülkeden kaçan Ukrayna vatandaşlarına yardım eden ve Ukrayna hükümetine yardım sağlayan” kurumlara özel vurgu yapan BlackBerry’nin son bulgularıyla örtüştüğünü belirtmekte fayda var.