Rusya yanlısı bilgisayar korsanlığı grupları, ele geçirilen sistemlerden kimlik bilgilerini toplamak için tasarlanmış bir kimlik avı kampanyasının parçası olarak WinRAR arşivleme aracında yakın zamanda açıklanan bir güvenlik açığından yararlandı.
Cluster25 geçen hafta yayınlanan bir raporda, “Saldırı, 6.23’ten önceki WinRAR sıkıştırma yazılımı sürümlerini etkileyen ve CVE-2023-38831 olarak takip edilen, yakın zamanda keşfedilen güvenlik açığından yararlanan kötü amaçlı arşiv dosyalarının kullanımını içeriyor.” dedi.
Arşiv, tıklandığında saldırganın hedeflenen ana bilgisayara uzaktan erişmesini sağlayan bir ters kabuk açmak için PowerShell komutlarını başlatan bir Windows Batch komut dosyasının yürütülmesine neden olan bubi tuzaklı bir PDF dosyası içeriyor.
Ayrıca, Google Chrome ve Microsoft Edge tarayıcılarından oturum açma kimlik bilgileri de dahil olmak üzere verileri çalan bir PowerShell betiği de dağıtıldı. Yakalanan bilgiler meşru bir web hizmeti web kancası aracılığıyla sızdırılır[.]alan.
CVE-2023-38831, WinRAR’da, saldırganların ZIP arşivindeki zararsız bir dosyayı görüntülemeye çalıştıklarında rastgele kod çalıştırmasına olanak tanıyan yüksek önem derecesine sahip bir kusuru ifade eder. Group-IB’nin Ağustos 2023’teki bulguları, hatanın Nisan 2023’ten bu yana tüccarları hedef alan saldırılarda sıfır gün olarak silah haline getirildiğini ortaya çıkardı.
Bu gelişme, Google’ın sahibi olduğu Mandiant’ın, Rus ulus devlet aktörü APT29’un 2023’ün ilk yarısında temponun arttığı ve Ukrayna’ya vurgu yapıldığı bir dönemde diplomatik kurumları hedef alan “hızla gelişen” kimlik avı operasyonlarının planını yapmasıyla ortaya çıktı.
Şirket, APT29’un araçları ve ticari tekniğindeki önemli değişikliklerin “muhtemelen operasyonların artan sıklığını ve kapsamını desteklemek ve adli analizleri engellemek için tasarlandığını” ve “farklı operasyonlarda aynı anda çeşitli enfeksiyon zincirlerini kullandığını” söyledi.
Dikkate değer değişikliklerden bazıları, birinci aşama yükleri barındırmak için güvenliği ihlal edilmiş WordPress sitelerinin kullanılmasının yanı sıra ek gizleme ve anti-analiz bileşenlerini de içeriyor.
Bulut odaklı kullanımla da bağlantılı olan AT29, geçen yılın başlarında savaşın başlamasının ardından Ukrayna’yı öne çıkaran Rusya kaynaklı birçok faaliyet kümesinden biri.
Temmuz 2023’te Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), Turla’nın Capibar kötü amaçlı yazılımını ve Kazuar arka kapısını Ukrayna savunma varlıklarına yönelik casusluk saldırıları için kullanan saldırılara karıştığını ortaya çıkardı.
Trend Micro yakın tarihli bir raporunda, “Turla grubu, uzun bir faaliyet geçmişine sahip inatçı bir düşmandır. Kökenleri, taktikleri ve hedeflerinin tümü, yüksek vasıflı operatörler ile iyi finanse edilen bir operasyona işaret etmektedir” dedi. “Turla, araçlarını ve tekniklerini yıllar boyunca sürekli olarak geliştirdi ve muhtemelen bunları iyileştirmeye devam edecek.”
Ukrayna siber güvenlik kuruluşları geçen ayki bir raporda, Kremlin destekli tehdit aktörlerinin, Ukrayna’nın Rus askerleri tarafından işlenen savaş suçlarına ilişkin soruşturmaları hakkında bilgi toplamak amacıyla yerel kolluk kuvvetlerini hedef aldığını da ortaya çıkardı.
“2023 yılında en aktif gruplar UAC-0010 (Gamaredon/FSB), UAC-0056 (GRU), UAC-0028 (APT28/GRU), UAC-0082 (Sandworm/GRU), UAC-0144 / UAC-0024 oldu. / UAC-0003 (Turla), UAC-0029 (APT29/ SVR), UAC-0109 (Zarya), UAC-0100, UAC-0106 (XakNet), [and] UAC-0107 (CyberArmyofRussia),” Ukrayna Özel İletişim ve Bilgi Koruma Devlet Servisi (SSSCIP) söyledi.
CERT-UA, 2023’ün ilk yarısında 27 “kritik” siber olay kaydetti; bu sayı 2022’nin ikinci yarısındaki 144 ve 2022’nin ilk yarısındaki 319’du. Toplamda, operasyonları etkileyen yıkıcı siber saldırıların sayısı 518’den 267’ye düştü.