Siber olaylara yanıt vermek için milli takım olan CERT-UA, Mart-Nisan 2024’te merkezi bir yürütme organının bilgi ve iletişim sistemini (ICS) hedefleyen sofistike bir siber saldırıya maruz kaldı.
Yanıt önlemlerinin uygulanması sırasında, bir Windows işletim sistemi çalıştıran ve sunucu olarak işlev gören bir teknik cihaz, iki kötü amaçlı yazılım aracı ile tehlikeye atıldığı bulunmuştur: Beardshell ve Slimagent.
C ++ ‘da geliştirilen Beardshell, Icedrive Service API üzerinden elde edilen verileri yüklerken indirme, şifre çözme (Chacha20-Poly1305 kullanarak) ve PowerShell komut dosyalarının yürütülmesini kolaylaştırır.
.png
)
CERT-UA, sofistike siber tehdidi ortaya çıkarıyor
Etkilenen her sistemi, bilgisayar adının ve donanım profili kılavuzunun bir karma (HASH64_FNV1A) ile adlandırılmış bir dizin oluşturarak benzersiz bir şekilde tanımlar.
C ++ ile de kodlanmış Slimagent, ekran görüntülerini yakalamaya, AES+RSA ile şifrelemeye ve bunları zaman damgalı dosya adı formatıyla yerel olarak saklamaya odaklanır.
İlk uzlaşma yöntemi erken soruşturma sırasında belirsiz kalırken, tespit edilen dosyalar daha fazla analiz için derhal güvenilir güvenlik satıcıları ve siber tehdit araştırmacıları ile paylaşıldı.
ESET’ten operasyonel istihbaratın Gov.ua etki alanı içindeki bir e -posta hesabına yetkisiz erişimi işaretlediği 2025 Mayıs’a kadar hızlı bir şekilde ilerleyin.
CERT-UA, A0334 Askeri Birim Bilgi ve Telekomünikasyon Sistemleri Merkezi ile işbirliği içinde kapsamlı bir yanıt başlattı.
Araştırma, gelişmiş kötü amaçlı yazılımları ortaya koyuyor
Sonraki bilgisayar-teknik araştırması, antlaşma çerçevesinin bir modülü ve Beardshell Backdoor da dahil olmak üzere ek kötü amaçlı bileşenleri ortaya çıkardı.
Saldırganlar, aktivasyon üzerine yürütmek üzere tasarlanmış bir makro içeren sinyal yoluyla teslim edilen “Act.doc” adlı kötü niyetli bir belge kullandılar.
Bu makro, ctec.dll ve windows.png dosyası oluşturdu ve com-hiJacking teknikleri aracılığıyla Windows kayıt defterini kalıcılık açısından değiştirdi ve explorer.exe yeniden başlatmalarına yüklenen kötü amaçlı yükün sağlanmasını sağladı.
CTEC.dll, Windows.png’den Shellcode’u şifresini çözer, sonuçta Koofr Service API’sını bir kontrol kanalı olarak kullanan bir antlaşma bileşeni (ksmqsyck.dx4.exe) başlatır.
Ayrıca, Covenant, playsndsrv.dll ve Sample-03.wav dahil olmak üzere ek kötü amaçlı dosyaların indirilmesini kolaylaştırdı ve bu da ek kayıt defteri manipülasyonları ve planlanan görevler aracılığıyla Beardshell arka kapısının dağıtılmasına yol açtı.
Kötü şöhretli UAC-0001 (APT28) grubuna atfedilen bu siber tehdidin başarısı, çeşitli faktörlere bağlıdır: makrolar yürütme yeteneği, bir teslimat mekanizması olarak sinyal üzerinde yetersiz konakçı güvenlik kontrolleri ve Icedrive ve Koofr gibi meşru hizmet API’lerinin kötüye kullanılması Komut ve kontrol için.
CERT-UA, daha fazla riski azaltmak için APP.Koofr.net ve API.Icedrive.net gibi alanlarla ağ etkileşimlerinin arttırılmasını önerir.
Bu olay, kritik altyapıyı hedefleyen siber tehditlerin gelişen karmaşıklığını ve hassas sistemleri korumak için güçlü güvenlik önlemlerine acil ihtiyacın altını çizmektedir.
Uzlaşma Göstergeleri (IOC)
| Tip | Tanım | Değer/karma |
|---|---|---|
| Dosya | Act.doc | 915179579ab7dc358c41ea9e4fcab52 |
| Dosya | ctec.dll | 2CAE8DC37BAF5216A3E7342AAC7555894 |
| Ağ | Icedrive API | Api.icedrive[.]açık |
| Ağ | Koofr Ateşi | App.Koofr[.]açık |
| Ev sahibi | Kayıt Defteri Anahtarı (Com-HiJacking) | HKEY_CURRENT_USER \ Software \ Classs \ Clsid {2227A280-3AEA-1069-A2DE-08002B30309D} \ InprocServer32 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin