Rus ulus devlet aktörü şu şekilde takip edildi: Gizli Kar Fırtınası Ukrayna’da bulunan hedef cihazlara Kazuar adı verilen bilinen bir arka kapıyı yerleştirmek için diğer tehdit aktörleriyle ilişkili kötü amaçlı yazılımlardan yararlanıldığı gözlemlendi.
Yeni bulgular, Mart ve Nisan 2024 arasında saldırganın Ukrayna ordusuyla ilişkili “özel olarak seçilmiş” sistemlere özel kötü amaçlı yazılım indirmek için Amadey bot kötü amaçlı yazılımını kullandığını gözlemleyen Microsoft tehdit istihbarat ekibinden geliyor.
Faaliyetin, Turla olarak da bilinen Secret Blizzard’ın 2022’den bu yana Ukrayna’da kendi araçlarını yaymak için bir siber suç kampanyasına giriştiği ikinci sefer olduğu değerlendiriliyor.
Şirket, The Hacker News ile paylaştığı bir raporda, “Diğer tehdit aktörlerinin erişimine el koymak, Secret Blizzard’ın saldırı vektörlerini çeşitlendirme yaklaşımını vurguluyor” dedi.
Bilgisayar korsanlığı ekibi tarafından kullanılan bilinen diğer yöntemlerden bazıları arasında ortadaki düşman (AitM) kampanyaları, stratejik web saldırıları (diğer bir deyişle sulama deliği saldırıları) ve hedef odaklı kimlik avı yer alıyor.
Secret Blizzard’ın istihbarat toplamaya yönelik uzun vadeli gizli erişimi kolaylaştırmak için çeşitli sektörleri hedefleme konusunda bir geçmişi var, ancak öncelikli odak noktaları dışişleri bakanlıkları, büyükelçilikler, devlet daireleri, savunma bakanlıkları ve dünya çapındaki savunmayla ilgili şirketler.
En son rapor, teknoloji devinin Lumen Technologies Black Lotus Labs ile birlikte Turla’nın kendi operasyonlarını yürütmek için Pakistan merkezli Storm-0156 adlı bilgisayar korsanlığı grubunun 33 komuta ve kontrol (C2) sunucusunu ele geçirdiğini ortaya çıkarmasından bir hafta sonra geldi. .
Ukraynalı varlıkları hedef alan saldırılar, Amadey botlarına Tavdig olarak bilinen bir arka kapıyı dağıtmak için el koymayı gerektiriyor; bu daha sonra Kasım 2023’te Palo Alto Networks Birim 42 tarafından belgelenen Kazuar’ın güncellenmiş bir sürümünü yüklemek için kullanılıyor.
Amadey ile bağlantılı olan ve çoğunlukla XMRig kripto para madencisinin infazını içeren siber suç faaliyetleri, Microsoft tarafından Storm-1919 adı altında takip ediliyor.
Secret Blizzard’ın Amadey’in hizmet olarak kötü amaçlı yazılımını (MaaS) kullandığına ya da hedef cihazlara bir PowerShell damlatıcısı indirmek için Amadey komut ve kontrol (C2) panellerine gizlice eriştiğine inanılıyor. Damlalık, bir Turla C2 sunucusuna geri çağrı yapan bir kod bölümü tarafından eklenen Base64 kodlu bir Amadey yükünden oluşur.
Microsoft, “PowerShell damlalığını Secret Blizzard tarafından kontrol edilen ayrı bir C2 URL’si ile kodlama ihtiyacı, Secret Blizzard’ın Amadey botu tarafından kullanılan C2 mekanizmasının doğrudan kontrolünde olmadığını gösterebilir” dedi.
Bir sonraki aşama, kurbanın cihazıyla ilgili ayrıntıları toplamak ve muhtemelen Microsoft Defender’ın etkin olup olmadığını kontrol etmek amacıyla özel bir keşif aracının indirilmesini içeriyor ve sonuçta tehdit aktörünün daha fazla ilgi çeken sistemlere odaklanmasını sağlıyor.
Bu aşamada saldırı, Tavdig arka kapısını ve DLL tarafından yüklemeye açık meşru bir Symantec ikili dosyasını içeren bir PowerShell damlalığını konuşlandırmaya devam eder. Tavdig ise ek keşif yapmak ve KazuarV2’yi fırlatmak için kullanılıyor.
Microsoft ayrıca tehdit aktörünün, Tavdig’i içeren bir PowerShell damlatıcısını dağıtmak için Flying Yeti (aka Storm-1837 ve UAC-0149) adlı Rusya merkezli farklı bir bilgisayar korsanlığı grubuna bağlı bir PowerShell arka kapısını yeniden kullandığını tespit ettiğini söyledi.
Teknoloji devi, Secret Blizzard’ın Storm-1837 arka kapısının kontrolünü veya Amadey botlarını kendi araçlarını indirmek için nasıl ele geçirdiğine dair soruşturmanın şu anda devam ettiğini belirtti.
Söylemeye gerek yok, bulgular, tehdit aktörünün, kendi varlığını gizleyecek şekilde casusluk kampanyaları yürütmek için, erişimi satın alarak veya çalarak diğer taraflarca sağlanan dayanak noktalarını sürekli olarak takip ettiğini bir kez daha vurguluyor.
Microsoft Tehdit İstihbaratı Stratejisi Direktörü Sherrod DeGrippo The Hacker News’e şunları söyledi: “Aktörlerin aynı taktikleri veya araçları kullanması alışılmadık bir durum değil, ancak diğer aktörlerin altyapısını tehlikeye attıklarına ve kullandıklarına dair nadiren kanıt görüyoruz.”
“Devlet destekli tehdit aktörlerinin çoğunun, operasyonlarının bütünlüğünü korumak için özel olarak tahsis edilmiş veya dikkatli bir şekilde riske atılmış altyapıya dayanan operasyonel hedefleri vardır. Bu, potansiyel olarak tehdit istihbaratı analistlerini hayal kırıklığına uğratan ve doğru tehdit aktörüne atıf yapmayı zorlaştıran etkili bir gizleme tekniğidir.”