Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), SickSync adlı casusluk kampanyasının bir parçası olarak SPECTR adlı kötü amaçlı yazılımla ülkedeki savunma güçlerini hedef alan siber saldırılar konusunda uyardı.
Teşkilat, saldırıları UAC-0020 adı altında takip ettiği, Vermin olarak da adlandırılan ve Luhansk Halk Cumhuriyeti’nin (LPR) güvenlik teşkilatlarıyla ilişkili olduğu değerlendirilen bir tehdit aktörüne bağladı. LPR, Şubat 2022’de Ukrayna’nın askeri işgalinden günler önce Rusya tarafından egemen bir devlet ilan edildi.
Saldırı zincirleri, sahte bir PDF dosyası içeren RAR kendi kendine açılan bir arşiv dosyası, SPECTR yükünü içeren SyncThing uygulamasının truva atı haline getirilmiş bir sürümü ve yürütülebilir dosyayı başlatarak bulaşmayı etkinleştiren bir toplu komut dosyası içeren hedef odaklı kimlik avı e-postalarıyla başlar.
SPECTR, her 10 saniyede bir ekran görüntüsü alarak, dosyaları toplayarak, çıkarılabilir USB sürücülerden veri toplayarak ve web tarayıcılarından ve Element, Signal, Skype ve Telegram gibi uygulamalardan kimlik bilgilerini çalarak bir bilgi hırsızı olarak hizmet eder.
“Aynı zamanda, bilgisayardan çalınan belgeleri, dosyaları, şifreleri ve diğer bilgileri yüklemek için meşru SyncThing yazılımının standart senkronizasyon işlevi kullanıldı; bu, diğer şeylerin yanı sıra eşler arası bağlantının kurulmasını da destekliyor CERT-UA, “Bilgisayarlar arasında” dedi.
SickSync, daha önce Mart 2022’de SPECTR kötü amaçlı yazılımını dağıtmak için Ukrayna’nın devlet kurumlarına yönelik kimlik avı kampanyaları düzenlediği gözlemlenen Vermin grubunun uzun bir aradan sonra geri dönüşünü işaret ediyor. SPECTR’in aktör tarafından 2019’dan beri kullanıldığı biliniyor.
Vermin aynı zamanda yaklaşık sekiz yıldır çeşitli Ukrayna devlet kurumlarını hedef almak için kullanılan bir .NET uzaktan erişim truva atına da verilen isimdir. Bu durum ilk kez Ocak 2018’de Palo Alto Networks Birim 42 tarafından kamuoyuna bildirildi ve ardından ESET tarafından yapılan bir analiz, saldırganın etkinliğini Ekim 2015’e kadar takip etti.
Açıklama, CERT-UA’nın, DarkCrystal RAT (diğer adıyla DCRat) adı verilen uzaktan erişim truva atını dağıtmak için Signal anlık mesajlaşma uygulamasını bir dağıtım vektörü olarak kullanan sosyal mühendislik saldırıları konusunda uyarmasının ardından geldi. UAC-0200 kod adlı bir etkinlik kümesine bağlandılar.
Ajans, “Bir kez daha, mesajlaşma programları ve meşru ele geçirilmiş hesaplar kullanılarak yapılan siber saldırıların yoğunluğunda bir artış eğilimi olduğunu fark ediyoruz” dedi. “Aynı zamanda, öyle ya da böyle, kurban bilgisayarda dosyayı açmaya teşvik ediliyor.”
Bu aynı zamanda, GhostWriter (diğer adıyla UAC-0057 ve UNC1151) olarak bilinen Belaruslu devlet destekli bilgisayar korsanları tarafından yürütülen ve Ukrayna Savunma Bakanlığı’nı hedef alan saldırılarda bubi tuzaklı Microsoft Excel belgelerini kullanan bir kötü amaçlı yazılım kampanyasının keşfedilmesini de takip ediyor.
Broadcom’un sahibi olduğu Symantec, “Gömülü bir VBA Makrosu içeren Excel belgesi yürütüldüğünde, bir LNK ve bir DLL yükleyici dosyası düşüyor” dedi. “Daha sonra, LNK dosyasını çalıştırmak DLL yükleyiciyi başlatıyor ve potansiyel olarak AgentTesla, Cobalt Strike beacon’ları ve njRAT dahil olmak üzere şüpheli bir son yüke yol açıyor.”