Fighting Ursa olarak bilinen üretken bir Rus tehdit aktörü, kullanılmış araba satışına yönelik bir kimlik avı planı aracılığıyla diplomatları hedef alıyor ve ardından HeadLace arka kapı kötü amaçlı yazılımını dağıtıyor.
Kumar, diplomatik amaçlarla donatılmış bir Audi Q7 Quattro SUV’nin araç resimlerini içerdiği iddia edilen bir .ZIP dosyasını indirmeyi içeriyor; aslında dosyalar, Microsoft Windows’da varsayılan olarak gizli olan .EXE uzantılı yürütülebilir dosyalardır.
Aracın fotoğraflarına, ilanın güvenilirliğini artırmak için Romanya telefon numarası ve Güneydoğu Avrupa Kolluk Kuvvetleri Merkezi’ndeki bir irtibat bilgisi de eklendi.
Palo Alto Networks’ün 42. Birimi tarafından yayınlanan saldırıya ilişkin rapora göre, Ursa ile Mücadele (APT28, Fancy Bear ve Sofacy olarak da bilinir), diğer Rus tehdit aktörlerinden aldığı taktiği benimsedi.
Temmuz 2023’te Unit42, benzer bir yem kullanan Rus tehdit aktörü Cloaked Ursa’yı bildirdi – o zamanlar Kiev’de kullanılmış bir BMW sedanı – Ukrayna’daki büyükelçiliklerde çalışan hedef diplomatlar.
“Bu tür cazibeler diplomatlar arasında yankı uyandırıyor ve hedeflerin kötü amaçlı içeriğe tıklamasını sağlıyor” diye yazıyor blog yazısı kayıt edilmiş.
‘Audi’ Siber Saldırı Rutini Casusluğu Tetikliyor
Saldırı zinciri, “webhook” olarak bilinen meşru ve ücretsiz bir hizmetin kötü amaçlı bir HTML sayfasını barındırmasıyla başlıyor. 42. Birim bu taktiğin genellikle APT28 ile ilişkilendirildiğini belirtti.
Bu sayfa daha sonra hedef makinenin Windows çalıştırıp çalıştırmadığını belirler. Eğer çalıştırıyorsa, indirilmek üzere bir .ZIP arşivi sunulur. Sistem Windows tabanlı değilse, kullanıcı bir sahte görüntüye yönlendirilir.
.ZIP arşivinin içerisinde üç dosya bulunuyor: Resim dosyası gibi gizlenmiş bir Windows hesap makinesi çalıştırılabilir dosyası, kötü amaçlı bir dinamik bağlantı kitaplığı (DLL) ve bir toplu iş betiği.
Hesap makinesi çalıştırılabilir dosyası, daha sonra toplu komut dosyasını çalıştıran kötü amaçlı DLL’yi yüklemek için kullanılır.
Toplu komut dosyası daha sonra başka bir webhook sitesi URL’sinden bir dosyayı almak için bir komut yürütür, dosyayı indirmeler klasörüne kaydeder, yürütme için yeniden adlandırır ve ardından saldırının izlerini örtmek için siler. Bu dosya, daha sonraki veri hırsızlığı, keşif ve gözetleme faaliyetleri için kurbanın makinesine kalıcı erişim sağlayan HeadLace arka kapısını içerir.
“Fighting Ursa’nın kullandığı altyapı farklı saldırı kampanyaları için farklılık gösterse de, grup sıklıkla bu ücretsiz hizmetlere güveniyor,” diye açıkladı Unit 42’den bir görevli. “Dahası, bu kampanyanın taktikleri daha önce belgelenen Fighting Ursa kampanyalarıyla uyumlu ve HeadLace arka kapısı yalnızca bu tehdit aktörüne özel.”
Dosya Uzantısı Seçeneklerini Gizle’yi Devre Dışı Bırakma
KnowBe4’te veri odaklı savunma savunucusu olan Roger Grimes, Windows’un ortaya çıktığı günden bu yana, .EXE, .SCR, .DLL gibi yaygın olarak kullanılan düzinelerce dosyanın uzantısını otomatik olarak gizlediğini açıklıyor.
“Bu, bir saldırganın örneğin ‘carphotos.jpg.exe’ gibi bir dosya oluşturmasına olanak tanır ve bu dosya çoğu Windows kullanıcısına carphotos.jpg olarak görünür,” diye açıklıyor.
Gerçek dosya uzantısının gizlenmemesi için, kullanıcının Windows’taki “dosya uzantılarını gizle” seçeneğini bilerek devre dışı bırakması gerekir; bunu da çoğunlukla birden fazla yerde yapması gerekir.
“Microsoft’un dosya uzantılarını gizlemenin on yıllardır varsayılan ayar olmasına izin vermesinin sebebini anlayamıyorum, çünkü bu, on milyonlarca istismarın sorumlusu,” diyor Grimes. “Microsoft’un bu tehlikeli varsayılan ayarı devre dışı bırakmasının zamanı çoktan geldi.”
Microsoft yorum talebine henüz yanıt vermedi.
Ursa ile Mücadele: Çok Aktif Bir Rus Siber Tehdit Aktörü
Çoğu araştırmacının takip ettiği bilgisayar korsanı grubu APT28’in uzun ve kötü şöhretli bir geçmişi var 2016’daki ABD seçimlerine müdahalenin failleri olarak NotPetya saldırıları, Olympic Destroyer girişimi ve diğer yüksek profilli siber saldırılar.
Daha yakın zamanda, daha önce hedeflenen Ukrayna hükümet organları Windows Update kılavuzları gibi görünen mızraklı kimlik avı e-postalarıyla, alıcıları kötü amaçlı PowerShell komutlarını yürütmeye kandırmak amaçlanıyor.
Ve 2022’de, kötü niyetli bir belgeyi yaymak Ukraynalı kullanıcılara kimlik avı e-postaları göndererek artık yamalanmış CVE-2022-30190 açığını istismar ediyor. “Nükleer Terörizm: Çok Gerçek Bir Tehdit.rtf” başlıklı belge, Ukrayna’daki savaşın nükleer bir felakete dönüşmesiyle ilgili endişeleri istismar etmeyi amaçlıyordu.
Tehdit grubu ayrıca şunları da hedef aldı: Ukrayna’nın enerji altyapısıve yakın zamanda GooseEgg’i inşa etti CVE-2022-38028’i istismar etmek için kullanılan özel araç Ukrayna, Batı Avrupa ve Kuzey Amerika’ya yönelik saldırılarda.