İzlenen zaman diliminde Rusya bağlantılı APT gruplarının Ukrayna’ya yönelik siber operasyonlarda yoğun bir şekilde yer aldığı gözlemlendi.
Bu operasyonlar, siliciler (hedeflenen bir sistemdeki verileri silebilen) ve fidye yazılımı (bir sistemin verilerini şifreleyebilen ve şifre çözme anahtarı için ödeme talep edebilen) gibi kötü amaçlı yazılımların konuşlandırılmasını içerir.
Sandworm grubu, Rusya dışında faaliyet gösterdiğine inanılan, iyi bilinen bir APT (Gelişmiş Kalıcı Tehdit) grubudur. Grup, birkaç yüksek profilli siber saldırıya karışmasıyla ünlüdür.
Kısa bir süre önce ESET, kötü şöhretli Sandworm grubunun Ukraynalı bir enerji sektörü şirketine saldırıda daha önce görülmemiş bir silici kullandığını keşfetti.
Yeni bir silecek eklenmesi
Ekim ayında Sandworm, Ukraynalı bir enerji şirketine düzenlenen saldırıda yeni bir silecek kullandı ve bu, Rusya’nın enerji altyapısına yönelik füze saldırılarıyla aynı zamana denk geldi. Analistler koordinasyonu kanıtlayamazlar ancak ortak hedefler önerirler.
ESET araştırmacıları, Japonya’daki siyasi oluşumları hedef alan bir MirrorFace hedefli kimlik avı saldırısını ortaya çıkardı. Ayrıca, Goblin Panda’nın Mustang Panda’nın Avrupa’ya odaklanmasını kopyalamasıyla, Çin ile bağlantılı bazı gruplar için hedeflemede bir değişiklik gözlemlediler.
ESET araştırmacıları, grubun cephaneliğine eklenen “NikoWiper” adlı yeni bir silici kötü amaçlı yazılım keşfetti. Silecek, Microsoft’un dosyaları güvenli bir şekilde silmek için kullanılan SDelete adlı bir komut satırı yardımcı programını temel alır.
Bunun dışında ESET, Sandworm’un SwiftSlicer olarak adlandırılan başka bir silici kötü amaçlı yazılım türünün arkasında olduğunu da keşfetti. Ekim 2022’de enerji sektöründeki Ukraynalı bir şirkete karşı bu kötü şöhretli silici tehdit aktörleri tarafından kullanıldı.
Siber güvenlik uzmanları, geleneksel veri silen kötü amaçlı yazılımlara ek olarak, Sandworm grubunun yıkıcı silme saldırıları gerçekleştirmek için fidye yazılımı kullandığını keşfetti.
Saldırganların şifre çözme anahtarı karşılığında fidye talep ettiği tipik fidye yazılımı saldırılarının aksine, bu saldırılar herhangi bir kurtarma olasılığı olmadan verileri tamamen yok etmeyi amaçlar.
2022 yılının Kasım ayında, Ukrayna’da bu alandaki uzmanlar tarafından yeni bir tür fidye yazılımı tespit edildi. Fidye yazılımı .NET programlama dilinde yazılmıştı ve ona “RansomBoggs” adı verildi.
Güvenlik uzmanları, bu dosya kodlayıcının dağıtımının kötü amaçlı yazılım operatörleri tarafından POWERGAP komut dosyaları kullanılarak gerçekleştirildiğini fark etti. Sandworm, silecek ve fidye yazılımı yüklerini dağıtmak için neredeyse her zaman Active Directory Grup İlkesi’ni kullandı.
Callisto (namı diğer COLDRIVER veya SEABORGIUM), web postası kimlik bilgilerini edinme amacıyla hedefli kimlik avı amacıyla aktif olarak önemli miktarda alan adı satın alıyor.
Bunun dışında Ukraynalı kurumlar için Gamaredon hala önemli bir risk olmaya devam ediyor. ESET, Polonya ve Ukrayna’da Microsoft tarafından da hedeflenen bir kampanyanın parçası olarak vurgulanan Sandworm fidye yazılımı saldırılarının varlığını gün ışığına çıkardı.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin