Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Coğrafi Odak: Asya
Bilgisayar Korsanları Asya Ülkelerini Hedef Almak İçin Diplomatik Belgelerdeki Kötü Amaçlı Makroları Kullanıyor
Prajeet Nair (@prajeetspeaks) •
15 Ocak 2025
Muhtemelen Rusya Ana İstihbarat Müdürlüğü’nden gelen bilgisayar korsanları, kötü niyetli makrolarla bubi tuzağına düşürülen meşru hükümet belgelerini kullanarak komşu Kazakistan hakkında casusluk yapıyor. “Çift Dokunma” adlı son kampanya Ekim 2024’te ortaya çıktı.
Ayrıca bakınız: İsteğe Bağlı | Kuzey Kore’nin Gizli Bilişim Ordusu ve Bununla Nasıl Mücadele Edilir?
Sekoia’daki araştırmacılar, kampanyayı, ilk olarak Nisan 2023’te Ukraynalı siber savunucular tarafından isimlendirilen UAC-0063 olarak takip edilen gruba bağladı.
Ukrayna hükümetinin bilgisayar acil durum müdahale ekibi, UAC-0063’ün, Rusya Ana İstihbarat Müdürlüğü’nün 26165 Birimine bağlı olan ve genellikle APT 28 olarak etiketlenen bir Rus istihbarat grubuyla örtüştüğünü orta derecede güvenle değerlendirdi. Hem CERT-UA hem de Recorded Future, teknik benzerliklere dayalı orta düzeyde güveni öne sürerek UAC-0063’ü APT28’e bağladı.
UAC-0063’ün hackleme hedefleri, Kremlin’in diplomatik, akademik ve savunma kaynaklarından ekonomik ve politik istihbarat toplama öncelikleriyle uyumludur. Sekoia bu kampanyaya “Çift Dokunma” adını verdi çünkü iki adımlı süreç, bir belgede bir makronun çalıştırılmasıyla başlıyor ve bu da kötü amaçlı yazılım yükleyen başka bir belge oluşturuyor. Sekoia, kampanyayı ilk kez Ekim 2024’te takipçilerinin VirusTotal’da kötü amaçlı belgeler bulması üzerine tespit etti.
Araştırmacılar, resmi yazışmalar ve diplomatik bildiri taslağı olarak gizlenen dosyaların izini Kazakistan Dışişleri Bakanlığı’na kadar sürdü. Kimlik avı tuzaklarına örnek olarak Almanya ve Orta Asyalı liderlerin yer aldığı ortak bir bildiri taslağı ve Afganistan ve Belçika’daki büyükelçiliklerle gönderilen diplomatik mektuplar yer alıyordu. Orijinal olan ancak kötü amaçlı makrolarla değiştirilmiş olan bu belgeler, açıldıktan sonra ana bilgisayarların güvenliğini tehlikeye atar.
Enfeksiyon zinciri daha sonra Hatvibe ve Cherryspymalware’i dağıtır. Süreç, meşru bir belgeye yerleştirilmiş kötü amaçlı bir makronun kullanıcılardan onu yürütmesini istemesiyle başlıyor. Bu eylem, güvenlik ayarlarını değiştirir, makro yürütme istemlerini atlar ve ek kötü amaçlı belgeler oluşturur.
Bu belgeler, veri sızdırmak ve kalıcılık oluşturmak için kötü amaçlı yazılım dağıtarak gizli görevleri yerine getirir.
Hatvibe, yürütülmek üzere şifrelenmiş modülleri almak üzere uzak bir komut ve kontrol sunucusuyla iletişim kuran VBS tabanlı bir arka kapıdır. Benzersiz enfeksiyon zinciri, belge ayarlarında kötü amaçlı kodları gizlemek ve schtasks.exe gibi geleneksel araçları kullanmadan zamanlanmış görevler oluşturmak gibi güvenlikten kaçınma tekniklerini kullanır. Cherryspy, veri toplama yeteneklerini genişleterek Hatvibe’yi tamamlıyor.
Araştırmacılar tarafından analiz edilen kötü amaçlı bir belge, ek dosyalar oluşturmak ve Hatvibe içeren gizli bir HTML Uygulama dosyasını bırakmak için bir makro kullandı. Bu dosya, kodunun tekrar tekrar yürütülmesini planlayarak kalıcı bir arka kapı oluşturdu ve sürekli veri sızdırılmasına olanak sağladı.
Sekoia, aralarında idari notlar, diplomatik mektuplar ve hükümetlerarası raporların da bulunduğu 18 silaha dönüştürülmüş belgenin tespit edildiğini söyledi. Kazakistan dışişleri bakanlığıyla ilgisi olmayan bir dosya Kırgızistan savunma bakanlığından geldi ve Orta Asya’daki daha geniş hedeflemeyi yansıtıyor. Belgeler 2021’den 2024’e kadar uzanıyor ve bölgesel ağlara sızmaya yönelik sürekli bir çabaya işaret ediyor.