Rusya ve Moldova’daki şirketler, az bilinen bir siber casusluk grubu tarafından düzenlenen bir kimlik avı kampanyasının hedefi oldu. XDS casusu.
Bulgular, enfeksiyon zincirlerinin DSDownloader adlı bir kötü amaçlı yazılımın dağıtımına yol açtığını söyleyen siber güvenlik firması FACCT’den geliyor. Etkinliğin bu ay gözlemlendiğini ekledi.
XDSpy, ilk olarak Şubat 2020’de Belarus Bilgisayar Acil Durum Müdahale Ekibi CERT.BY tarafından ortaya çıkarılan, kökeni belirsiz bir tehdit aktörü. ESET tarafından daha sonra yapılan bir analiz, grubu 2011’den beri Doğu Avrupa ve Balkanlar’daki devlet kurumlarına yönelik bilgi çalma saldırılarıyla ilişkilendirdi.
Saldırganların başlattığı saldırı zincirlerinin, hedeflerine XDDown olarak bilinen ana kötü amaçlı yazılım modülünü sızdırmak için hedef odaklı kimlik avı e-postalarını kullandığı ve bu modülün sistem bilgilerini toplamak, C: sürücülerini numaralandırmak, harici sürücüleri izlemek, yerel dosyaları sızdırmak ve parolaları toplamak için ek eklentiler bıraktığı bilinmektedir.
Geçtiğimiz yıl içerisinde XDSpy’ın, bir komuta ve kontrol (C2) sunucusundan daha fazla yük alabilen bir yürütülebilir dosya biçimindeki çekirdek modülü indirmekten sorumlu olan UTask adlı C# tabanlı bir dropper ile Rus kuruluşlarını hedef aldığı gözlemlendi.
Son saldırı seti, meşru bir yürütülebilir dosya ve kötü amaçlı bir DLL dosyası içeren bir RAR arşiv dosyasını yaymak için anlaşmayla ilgili yemlerle kimlik avı e-postalarının kullanılmasını içerir. DLL daha sonra DLL yan yükleme teknikleri kullanılarak birincisi aracılığıyla yürütülür.
Kütüphane, DSDownloader’ı indirme ve çalıştırma işini üstleniyor ve bu da, bir sonraki aşamadaki kötü amaçlı yazılımı uzak bir sunucudan gizlice indirirken, dikkat dağıtıcı bir sahte dosya açıyor. FACCT, analiz sırasında yükün artık indirilemeyeceğini söyledi.
2022’de başlayan Rusya-Ukrayna savaşı, her iki tarafta da siber saldırılarda önemli bir artışa tanık oldu. Rus şirketleri, DarkWatchman RAT’ın yanı sıra son aylarda Core Werewolf, Hellhounds, PhantomCore, Rare Wolf, ReaverBits ve Sticky Werewolf olarak izlenen etkinlik kümeleri tarafından tehlikeye atıldı.
Dahası, Cyber.Anarchy.Squad gibi Ukrayna yanlısı hacktivist gruplar da Rus kuruluşlarına yönelerek, Infotel ve Avanpost’a yönelik hack-and-leak operasyonları ve yıkıcı saldırılar düzenliyor.
Gelişme, Ukrayna Bilgisayar Acil Durum Müdahale Ekibi’nin (CERT-UA), PicassoLoader adı verilen ve enfekte olmuş bilgisayarlara bir Cobalt Strike Beacon bırakmayı amaçlayan bir kötü amaçlı yazılım ailesini dağıtan UAC-0057 (diğer adıyla GhostWriter ve UNC1151) adlı Belaruslu bir tehdit aktörü tarafından gerçekleştirilen kimlik avı saldırılarındaki artış konusunda uyarıda bulunmasının ardından geldi.
Ayrıca, Rusya bağlantılı Turla grubunun, meşru ancak tehlikeye atılmış bir sunucudan alınan PowerShell komut dosyalarını çalıştırabilen ve güvenlik özelliklerini devre dışı bırakabilen dosyasız bir arka kapı sunmak için bir kanal olarak kötü amaçlı bir Windows kısayolu (LNK) dosyasını kullandığı yeni bir kampanyanın keşfedilmesinin ardından geldi.
“Ayrıca sistemin savunmasını zayıflatmak ve kaçınma yeteneğini artırmak için bellek düzeltme, AMSI’yi atlatma ve sistemin olay günlüğü özelliklerini devre dışı bırakma özelliklerini kullanır,” dedi G DATA araştırmacıları. “Algılamayı önlemek için AWL (Uygulama Beyaz Listesi) Atlatmayı uygulamak üzere Microsoft’un msbuild.exe’sinden yararlanır.”