Kötü şöhretli SolarWinds saldırısının arkasındaki Rusya destekli grup, Ukrayna’daki büyükelçiliklerde çalışan “şaşırtıcı sayıda” yabancı diplomatı, normalde onları kötü niyetli bağlantılara tıklamaya ikna etmek için kullanılan geleneksel siyasi yöntemlerden biraz daha kişisel olan tuzaklarla hedefliyor.
Palo Alto Networks’ün 42. Biriminden araştırmacılar, Cloaked Ursa olarak izledikleri, ancak daha çok Nobelium/APT29 olarak bilinen grubu, içinde dolaşmak için bir araç olarak gözlemlediler.
Kampanyadaki ilk cazibe, Polonya Dışişleri Bakanlığı bünyesindeki bir diplomat tarafından çeşitli büyükelçiliklere dağıtılan, Kiev’de kullanılmış bir BMW sedan satışı için meşru bir broşür kullanmak gibi görünüyordu. Araştırmacılar, oldukça masum görünse de, özellikle Ukrayna gibi savaşın harap ettiği bir bölgede, güvenilir bir diplomattan güvenilir bir arabanın satılmasının kesinlikle olay yerine yeni gelen birinin dikkatini çekebileceğini belirtti.
Bu, Cloaked Ursa’nın bir fırsat olarak gördüğü bir şeydi ve iki hafta sonra kötü amaçlı yazılım kampanyasında yem olarak birden fazla diplomatik misyona gönderdikleri kendi gayri meşru broşürünü oluşturmak için yeniden kullandı. Mesaja, hedeflerin orada arabanın daha fazla fotoğrafını bulabileceğini söyleyen kötü amaçlı bir bağlantı eklediler. Kurbanlar, seçili görüntü kurbanın ekranında görüntülenirken arka planda sessizce kötü amaçlı yazılım çalıştıran bağlantıya tıkladıklarında fotoğraflardan daha fazlasını bulurlar.
Kampanyanın yükü, saldırganlara kurbanın sistemine casusluk için hazır bir arka kapı ve bir komut ve kontrol (C2) bağlantısı yoluyla daha fazla kötü amaçlı kod yükleme yeteneği sağlayan JavaScript tabanlı bir kötü amaçlı yazılımdır.
APT, hedeflenen kurbanların yaklaşık %80’i için halka açık elçilik e-posta adreslerini ve diğer %20’si için yüzey web’de bulunmayan yayınlanmamış e-posta adreslerini kullanarak hedef listesini oluşturmak için önceden plan yaptı. Unit 42’ye göre bu muhtemelen “istenen ağlara erişimlerini en üst düzeye çıkarmak” içindi.
Araştırmacılar, Cloaked Ursa’nın Ukrayna’daki 80 yabancı misyondan 22’sine karşı kampanya yürüttüğünü gözlemlediler, ancak gerçek hedef sayısının muhtemelen daha yüksek olduğunu söylediler.
Birim 42’ye göre “Bu, genellikle dar kapsamlı ve gizli APT operasyonları için şaşırtıcı bir kapsamdır”.
Kötü Amaçlı Yazılım Siber Taktiklerinde Bir Değişiklik
Araştırmacılar, bu hafta yayınlanan bir blog yazısında, işleriyle ilgili konuları yem olarak kullanmanın stratejik bir ekseni olduğunu ortaya koydu.
Araştırmacılar, “Bu alışılmadık yemler, alıcıyı rutin görevlerinin bir parçası olmak yerine kendi ihtiyaç ve isteklerine dayalı bir ek açmaya ikna etmek için tasarlandı” diye yazdı.
Araştırmacılar, cazibe taktiklerindeki bu değişikliğin, kampanyanın başarı faktörünü yalnızca ilk hedefi değil, aynı kuruluş içindeki diğerlerini de tehlikeye atmak için artırmaya ve böylece erişimini genişletmeye yönelik bir hareket olabileceğini öne sürdüler.
Gönderide, “Cazibelerin kendileri diplomatik toplulukta geniş çapta uygulanabilir ve bu nedenle daha fazla sayıda hedefe gönderilip iletilebiliyor” diye yazdılar. “Ayrıca, diplomatik topluluk içinde olduğu kadar bir kuruluş içindeki başkalarına da iletilme olasılıkları daha yüksektir.”
Cloaked Ursa/Nobelium/APT29, Rusya Dış İstihbarat Servisi (SVR) ile ilişkili devlet destekli bir gruptur ve belki de en çok Aralık 2020’de keşfedilen ve virüs bulaşmış yazılım yoluyla yaklaşık 18.000 kuruluşa yayılan bir arka kapıyla başlayan SolarWinds saldırısıyla tanınır. güncellemeler – ve hala yazılım tedarik zinciri üzerinde bir etkiye sahip.
Grup, o zamandan beri sürekli olarak aktif kaldı ve Rusya’nın çeşitli dışişleri bakanlıkları ve diplomatlar ile ABD hükümetine karşı genel jeopolitik duruşuyla uyumlu bir dizi saldırı düzenledi. Olaylar arasındaki ortak payda, hem taktiklerdeki hem de özel kötü amaçlı yazılım geliştirmedeki karmaşıklıktır.
Birim 42, saldırının hedefleri de dahil olmak üzere Cloaked Ursa’nın bilinen diğer kampanyalarıyla benzerlikler ve gruptaki bilinen diğer kötü amaçlı yazılımlarla kod çakışması kaydetti.
Sivil Topluma Yönelik APT Siber Saldırılarını Azaltma
Araştırmacılar, Cloaked Ursa gibi APT’lerin sofistike ve zekice saldırılarının tuzağına düşmekten kaçınmak için diplomatik görevdeki insanlara bazı tavsiyeler verdi. Birincisi, yöneticilerin yeni atanan diplomatları bölgeye gelmeden önce siber güvenlik tehditleri konusunda eğitmesi.
Genel olarak devlet veya şirket çalışanları, görünüşte zararsız veya yasal sitelerden bile olsa indirme işlemlerine karşı her zaman dikkatli olmalı ve URL kısaltma hizmetlerini kullanırken URL yeniden yönlendirmesini gözlemlemek için ekstra önlemler almalıdır, çünkü bu bir kimlik avı saldırısının ayırt edici özelliği olabilir.
Araştırmacılar, insanların kimlik avı kurbanı olmaktan kaçınmak için e-posta eklerine de çok dikkat etmesi gerektiğini söyledi. Açtıkları dosyanın istedikleri dosya olduğundan emin olmak için dosya uzantısı türlerini doğrulamalı, uzantıları eşleşmeyen veya dosyanın doğasını şaşırtmaya çalışan dosyalardan kaçınmalıdırlar.
Son olarak, araştırmacılar, diplomatik çalışanların kural olarak JavaScript’i devre dışı bırakmasını önerdi; bu, programlama dili tabanlı herhangi bir kötü amaçlı yazılımı çalıştıramaz hale getirecektir.