Rus devlet kurumları ve endüstriyel kuruluşlar, “Almanya” adı verilen devam eden bir faaliyet kümesinin hedefidir. Uyanmak Var.
Kaspersky, Haziran 2024’te başlayan ve en azından Ağustos ayına kadar devam eden yeni bir kampanyayı detaylandırarak, “Saldırganlar, daha önce sistemlere uzaktan erişim sağlamak için kullandıkları UltraVNC modülü yerine artık meşru MeshCentral platformu için aracıyı kullanmayı tercih ediyor.” dedi. .
Rus siber güvenlik şirketi, kampanyanın öncelikle Rus devlet kurumlarını, yüklenicilerini ve sanayi kuruluşlarını hedef aldığını söyledi.
Core Werewolf ve PseudoGamaredon olarak da takip edilen Awaken Likho, savunma ve kritik altyapı sektörlerine yönelik siber saldırılarla bağlantılı olarak ilk olarak Haziran 2023’te BI.ZONE tarafından belgelendi. Grubun en az Ağustos 2021’den beri aktif olduğuna inanılıyor.
Hedef odaklı kimlik avı saldırıları, Microsoft Word veya PDF belgeleri olarak gizlenen kötü amaçlı yürütülebilir dosyaların “doc.exe”, “.docx.exe” veya “.pdf.exe” gibi çift uzantılar atayarak dağıtılmasını içerir; böylece yalnızca .docx ve Uzantının .pdf bölümleri kullanıcılara gösterilir.
Ancak bu dosyaların açılmasının UltraVNC kurulumunu tetiklediği ve böylece tehdit aktörlerinin ele geçirilen ana bilgisayarların tam kontrolünü ele geçirmesine olanak sağladığı görüldü.
FACCT’nin Mayıs ayı başındaki bulgularına göre, Core Werewolf tarafından gerçekleştirilen diğer saldırılarda, Ermenistan’daki bir Rus askeri üssünün yanı sıra silah geliştirmeyle ilgilenen bir Rus araştırma enstitüsü de hedef alındı.
Bu durumlarda gözlemlenen dikkate değer bir değişiklik, hedeflere zararsız bir yem belgesi görüntülerken UltraVNC’nin gizli kurulumunu kolaylaştırmak için kendi kendine açılan bir arşivin (SFX) kullanılmasıyla ilgilidir.
Kaspersky tarafından keşfedilen en son saldırı zinciri, 7-Zip kullanılarak oluşturulan ve açıldığında “MicrosoftStores.exe” adlı bir dosyanın yürütülmesini tetikleyen ve daha sonra açık kaynağı çalıştırmak için bir AutoIt betiğini açan bir SFX arşiv dosyasına da dayanıyor. MeshAgent uzaktan yönetim aracı.
Kaspersky, “Bu eylemler APT’nin sistemde kalmasına izin veriyor: saldırganlar bir komut dosyasını çalıştıran zamanlanmış bir görev oluşturuyor ve bu da MeshCentral sunucusuyla bağlantı kurmak için MeshAgent’ı başlatıyor.” dedi.