Rusya bağlantılı tehdit aktörlerinin, Kremlin’in Orta Asya’da ekonomik ve siyasi istihbarat toplama çabalarının bir parçası olarak Kazakistan’ı hedef alan devam eden bir siber casusluk kampanyasına atfedildiği belirtiliyor.
Kampanyanın, adlı bir izinsiz giriş setinin işi olduğu değerlendirildi. UAC-0063Rusya’nın Genelkurmay Ana İstihbarat Müdürlüğü’ne (GRU) bağlı bir ulus-devlet grubu olan APT28 ile muhtemelen örtüşüyor. Aynı zamanda Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy ve TA422 olarak da bilinir.
UAC-0063, ilk olarak 2023’ün başlarında Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) tarafından belgelendi ve HATVIBE, CHERRYSPY ve STILLARCH (diğer adıyla DownEx) olarak izlenen kötü amaçlı yazılım ailelerini kullanarak devlet kurumlarına yönelik saldırılarını ayrıntılarıyla anlattı. Bu kötü amaçlı yazılım türlerinin kullanımının bu gruba özel olduğunu belirtmekte fayda var.
Etkinlik kümesine TAG-110 adını veren Recorded Future’s Insikt Group’a göre, sonraki kampanyaların gözlerini Orta Asya, Doğu Asya ve Avrupa’daki kuruluşlara çevirdiği gözlemlendi.
Fransız siber güvenlik şirketi Sekoia, “UAC-0063 hedeflemesi, Ukrayna, Orta Asya ve Doğu Avrupa’ya coğrafi olarak odaklanarak diplomasi, STK’lar, akademi, enerji ve savunma dahil olmak üzere hükümet gibi sektörlerde istihbarat toplamaya odaklanıldığını gösteriyor.” dedi. yeni bir analiz.
En son saldırı dizisi, Kazakistan Cumhuriyeti Dışişleri Bakanlığı’ndan gelen meşru Microsoft Office belgelerinin, hedef odaklı kimlik avı amacıyla, HATVIBE kötü amaçlı yazılımını düşüren Double-Tap adlı çok aşamalı bir enfeksiyon zincirini etkinleştirmeyi amaçlayan bir yöntem olarak kullanılmasını içeriyor. Şu anda bu belgelerin nasıl temin edildiği bilinmiyor, ancak önceki bir kampanyada sızdırılmış olmaları mümkün.
Spesifik olarak, belgelere, kurbanlar tarafından çalıştırıldığında “C:\Users\” klasöründe ikinci bir boş belge oluşturacak şekilde tasarlanmış kötü amaçlı bir makro eklenmiştir.[USER]\AppData\Local\Temp\” konumu.
“Bu ikinci belge, VBS’yi içeren kötü amaçlı bir HTA (HTML Uygulaması) dosyasını bırakıp çalıştırmak için ilk makro tarafından otomatik olarak gizli bir Word örneğinde açılıyor. [Visual Basic Script] Sekoia araştırmacıları, arka kapının ‘HATVIBE’ lakaplı olduğunu söyledi.
HATVIBE, uzak bir sunucudan yürütülmek üzere sonraki aşamadaki VBS modüllerini alan bir yükleyici olarak çalışır ve bu da sonuçta CHERRYSPY adlı karmaşık bir Python arka kapısının yolunu açar. HATVIBE’yi içeren HTA dosyası, mshta.exe başlatıldığında dört dakika çalışacak şekilde tasarlanmıştır.
“Bu Çift Dokunma enfeksiyon zincirini oldukça benzersiz kılan şey, gerçek kötü amaçlı makro kodunu settings.xml dosyasında depolamak ve ikinci belge için schtasks.exe’yi oluşturmadan zamanlanmış bir görev oluşturmak gibi güvenlik çözümlerini atlamak için birçok hile kullanmasıdır. Araştırmacılar, ilk belgede yürütme süresinin değiştirilip değiştirilmediğini görmeyi amaçlayan bir anti-emülasyon hilesinin kullanıldığını, aksi takdirde makronun durdurulduğunu söyledi.
Sekoia, HATVIBE saldırı dizisinin APT28 ile ilgili Zebrocy kampanyalarıyla hedefleme ve teknik örtüşmeler gösterdiğini ve bu durumun UAC-0063 kümesini orta derecede güvenle Rus bilgisayar korsanlığı grubuna atfetmesine olanak sağladığını söyledi.
Şirket, “Hedef odaklı kimlik avı silahına dönüştürülmüş belgelerin teması, Rus istihbaratı tarafından Orta Asya devletleri arasındaki diplomatik ilişkilere, özellikle de Kazakistan’ın dış ilişkilerine ilişkin stratejik istihbarat toplamaya odaklanan bir siber casusluk kampanyasına işaret ediyor” diye ekledi.
Rusya’nın SORM platformu Orta Asya ve Latin Amerika’da satılıyor
Bu gelişme, Recorded Future’ın Orta Asya ve Latin Amerika’daki birçok ülkenin Citadel, Norsi-Trans ve Protei gibi en az sekiz Rus sağlayıcıdan Operasyonel Soruşturma Faaliyetleri Sistemi (SORM) telefon dinleme teknolojisini satın aldığını ve potansiyel olarak Rus istihbaratına izin verdiğini ortaya çıkarmasıyla geldi. ajansların iletişimi kesmesi.
Rusya’nın SORM’u, servis sağlayıcıların bilgisi olmadan yetkililer tarafından geniş bir yelpazedeki internet ve telekomünikasyon trafiğini yakalayabilen bir elektronik gözetim cihazıdır. Sabit hat ve mobil iletişimin yanı sıra internet trafiği, Wi-Fi ve sosyal medyanın izlenmesine olanak tanır ve bunların tümü aranabilir bir veritabanında saklanabilir.
Eski Sovyet toprakları olan Belarus, Kazakistan, Kırgızistan ve Özbekistan ile Latin Amerika ülkeleri Küba ve Nikaragua’nın vatandaşların telefonlarını dinleme teknolojisini büyük olasılıkla edindiği değerlendiriliyor.
“Bu sistemler meşru güvenlik uygulamalarına sahip olsa da, hükümetler […] Insikt Group, “Siyasi muhalefetin, gazetecilerin ve aktivistlerin etkili veya bağımsız bir gözetim olmadan baskılanması da dahil olmak üzere gözetleme yeteneklerinin kötüye kullanıldığı bir geçmişi var” dedi.
“Daha geniş anlamda, Rus gözetleme teknolojilerinin ihracatı, Moskova’ya, özellikle de geleneksel “yakın yurt dışı” alanı altında olduğunu düşündüğü alanlarda nüfuzunu genişletme fırsatları sunmaya devam edecek gibi görünüyor.