Ukrayna ve Doğu Avrupa’daki savunma sektörü, adı verilen yeni bir .NET tabanlı arka kapı tarafından hedef alındı. Teslimat Kontrolü (aka CAPIBAR veya GAMEDAY), sonraki aşama yüklerini teslim etme yeteneğine sahiptir.
Microsoft tehdit istihbarat ekibi, Ukrayna Bilgisayar Acil Müdahale Ekibi (CERT-UA) ile işbirliği içinde, saldırıları Demir Avcısı, Gizli Kar Fırtınası (eski adıyla Krypton), Uroburos, Zehirli Ayı ve Su Böceği adlarıyla da izlenen Turla olarak bilinen bir Rus ulus devlet aktörüne bağladı. Rusya’nın Federal Güvenlik Servisi’ne (FSB) bağlı.
Şirket, “DeliveryCheck, e-posta yoluyla kötü amaçlı makrolar içeren belgeler olarak dağıtılıyor” dedi. söz konusu bir dizi tweet’te. “Onu indiren ve bellekte başlatan zamanlanmış bir görev aracılığıyla devam eder. Ayrıca, XSLT stil sayfalarına gömülü rastgele yüklerin başlatılmasını içerebilen görevleri almak için bir C2 sunucusuyla bağlantı kurar.”
Başarılı ilk erişime, bazı durumlarda, uygulama yapılandırma dosyalarını, olay günlüklerini ve web tarayıcılarından çok çeşitli verileri çalmak üzere donatılmış Kazuar adlı bilinen bir Turla implantının dağıtımı da eşlik eder.
Saldırıların nihai amacı, Windows için Signal mesajlaşma uygulamasından mesajları sızdırarak, saldırganın hedeflenen sistemlerdeki hassas konuşmalara, belgelere ve görüntülere erişmesini sağlamaktır.
DeliveryCheck’in dikkate değer bir yönü, yöneticilerin Windows sistemlerinin yapılandırmasını otomatikleştirmesine yardımcı olan bir PowerShell yönetim platformu olan PowerShell Desired State Configuration (DSC) kullanarak bir sunucu tarafı bileşeni yüklemek için Microsoft Exchange sunucularını ihlal etme yeteneğidir.
Microsoft, “DSC, katıştırılmış .NET yükünü belleğe yükleyen ve meşru bir sunucuyu etkili bir şekilde kötü amaçlı bir C2 merkezine dönüştüren bir PowerShell betiği içeren bir Yönetilen Nesne Biçimi (MOF) dosyası oluşturur” dedi.
İçeriden Gelen Tehditlere Karşı Kalkan: SaaS Güvenlik Duruş Yönetiminde Ustalaşın
İçeriden gelen tehditler konusunda endişeli misiniz? Seni koruduk! SaaS Güvenlik Duruş Yönetimi ile pratik stratejileri ve proaktif güvenliğin sırlarını keşfetmek için bu web seminerine katılın.
Bugün katıl
Açıklama, Ukrayna Siber Polisinin, Rus işgalini meşrulaştıran düşmanca propaganda yaydığı, Ukrayna vatandaşlarına ait kişisel bilgileri sızdırdığı ve çeşitli dolandırıcılık planlarına katıldığı iddia edilen 100’den fazla kişinin bulunduğu devasa bir bot çiftliğini ortadan kaldırmasıyla geldi.
Operasyon kapsamında 21 noktada yapılan aramalarda bilgisayar donanımı, cep telefonu, 250’den fazla GSM ağ geçidi ve farklı mobil operatörlere ait yaklaşık 150 bin SIM kart ele geçirildi.