Ukrayna’daki varlıklar, Remcos Rat adlı bir uzaktan erişim Truva atını dağıtmak için tasarlanmış bir kimlik avı kampanyasının bir parçası olarak hedeflenmiştir.
Cisco Talos araştırmacısı Guilherme Venere geçen hafta yayınlanan bir raporda, “Dosya isimleri Ukrayna’daki birliklerin hareketiyle ilgili Rus kelimelerini kullanıyor.” Dedi. “PowerShell Downloader, Remcos Backdoor’u içeren ikinci aşama zip dosyasını indirmek için Rusya ve Almanya’da bulunan geo çitle çevrili sunucularla iletişim kuruyor.”
Etkinlik, Gamaredon olarak bilinen ve aynı zamanda adlı Aqua Blizzard, Armageddon, Blue OTSO, Bluealpha, Hive0051, Demir Tilden, İlkel Bear, Shuckworm, Trident Ursa, UAC-0010, UNC530 ve kış yüzü altında izlenen bir Rus hack grubuna ılımlı bir güvenle ilişkilendirildi.
Rusya’nın Federal Güvenlik Servisi’ne (FSB) bağlı olduğu değerlendirilen tehdit oyuncusu, Ukrayna örgütlerini casusluk ve veri hırsızlığı için hedeflemesi ile bilinir. En az 2013’ten beri faaliyet gösteriyor.
En son kampanya, zip arşivlerinde sıkıştırılmış Windows kısayol (LNK) dosyalarının dağıtımı ile karakterize edilir ve bunları, alıcıları açmaya yönlendirmek için devam eden Russo-Ukrayna savaşıyla ilgili Microsoft Office belgeleri olarak gizler. Bu arşivlerin kimlik avı e -postaları aracılığıyla gönderildiğine inanılıyor.
Gamaredon’a olan bağlantılar, kötü niyetli kısayol dosyalarının oluşturulmasında kullanılan ve daha önce tehdit oyuncusu tarafından benzer amaçlarla kullanılan iki makinenin kullanımından kaynaklanmaktadır.
LNK dosyaları, bir sonraki aşamalı yük cmdlet get-komutunu indirmek ve yürütmekten sorumlu olan PowerShell kodu ile birlikte gelir ve aynı zamanda kurbanı sürdürmek için kurbana görüntülenen bir tuzak dosyası getirir.
İkinci aşama, DLL yan yükleme olarak adlandırılan bir teknikle yürütülecek kötü niyetli bir DLL içeren başka bir ZIP arşividir. DLL, arşiv içinde bulunan şifreli dosyalardan son Remcos yükünü şifresini çözen ve çalıştıran bir yükleyicidir.
Açıklama, Ukrayna’ya sempati duyan Rus bireylere karşı bilgi toplamak için web sitesi cazibesi kullanan bir kimlik avı kampanyası detaylı bir push olarak geliyor. Etkinliğin ya Rus istihbarat hizmetlerinin ya da Rusya ile uyumlu bir tehdit aktörünün çalışması olduğuna inanılıyor.
Kampanya, ABD Merkezi İstihbarat Ajansı’nı (CIA), Rus Gönüllü Kolordusu, Lejyon Liberty ve Hochuzhit’i, Ukrayna’daki Rus hizmet üyelerinden Ukraynalı silahlı kuvvetlere teslim etmek için temyiz hattını almak için bir yardım hattından oluşan dört büyük kimlik avı kümesinden oluşuyor.
Kimlik avı sayfalarının kurbanlardan, kötü alışkanlıkları ve fiziksel uygunlukları da dahil olmak üzere kişisel bilgileri toplamak için Google formlarına ve e -posta yanıtlarına güvenen bir kurşun geçirmez barındırma sağlayıcısı Nybula LLC’de barındırıldığı bulunmuştur.
“Tüm kampanyalar […] Gözlemlenen benzer özelliklere sahipti ve ortak bir hedefi paylaştı: Siteyi ziyaret eden kurbanlardan kişisel bilgileri toplamak, “dedi Silent Push.” Bu kimlik avı balığı muhtemelen Rus istihbarat hizmetlerinin ya da Rus çıkarlarına uygun bir tehdit aktörünün çalışması. “