Tehdit aktörleri, kişisel ve gizli bilgilere erişmenin bir yolunu sağladıklarından e-posta adreslerini hedef alır.
E-postalar genellikle finansal bilgiler, oturum açma kimlik bilgileri ve kişisel mesajlar gibi değerli verileri içerir.
Saldırganlar, ele geçirilen e-posta adresleri aracılığıyla farklı türde siber saldırılar başlatabilir ve kötü amaçlı yazılımları yayabilir.
Siber güvenlik araştırmacısı Will (@BushidoToken) kısa süre önce UAC-0050'den (diğer adıyla DaVinci Grubu) tehdit aktörlerinin aktif olarak binlerce e-posta adresini hedef aldığını ve malspam kampanyaları için hacklediğini keşfetti.
UAC-0050 Binlerce Kişiyi Hackledi
CERT-UA, 22 Şubat 2024'te UAC-0050'nin, Rus kolluk kuvvetlerine bağlı, Rusça konuşan bir paralı asker örgütü olan “DaVinci Grubu”na bağladığını bildirdi.
UAC-0050, 2022 Rus işgalinden bu yana Ukraynalı kuruluşları hedef alıyor.
Bunun yanı sıra, Sandworm ve Fancy Bear gibi tehdit grupları için ilk erişim aracısı görevi gören 15 malspam kampanyasıyla da ilişkilendiriliyor.
Kötü amaçlı yazılım analizi hızlı ve basit olabilir. Size şu yolu göstermemize izin verin:
- Kötü amaçlı yazılımlarla güvenli bir şekilde etkileşime geçin
- Linux'ta ve tüm Windows işletim sistemi sürümlerinde sanal makine kurulumu
- Bir takımda çalışın
- Maksimum veriyle ayrıntılı raporlar alın
Tüm bu özellikleri şimdi sandbox'a tamamen ücretsiz erişimle test etmek istiyorsanız: ..
ANY.RUN'da kötü amaçlı yazılımları ücretsiz analiz edin
Remcos RAT ve Quasar RAT dahil olmak üzere yeraltı siber suçlularından Bitcoin ile satın alınan beş kötü amaçlı yazılım ailesi sunuyorlar.
CERT-UA, etkinlikleri hakkında bilgi sağlayarak UAC-0050'ye bağlı dosya yolları ve etki alanları gibi yapıları çeşitli durumlarda paylaştı.
DaVinci Grubu, en az 2017'den bu yana aktif olarak Ukrayna hedeflerine karşı malspam saldırıları başlatıyor.
Toplanan on binlerce e-posta adresiyle hükümet bakanlıklarını, yerel yetkilileri, orduyu ve sivilleri hedef aldılar.
Adli makamlar veya güvenlik hizmetleri gibi görünmek gibi taktikler kullanarak kurbanları kandırmak için Remcos RAT veya RemoteUtilities RMM araçları gibi kötü amaçlı eklentiler dağıtırlar.
Gelişen stratejileri, siber operasyonlarında endişe verici düzeyde bir karmaşıklık ve kararlılık göstermektedir.
CERT-UA'nın eserleri ve DaVinci'nin web sitesi karışıklığı çok önemli dönüm noktaları haline geldi. Hata, DaVinci operatörlerinin ayrıntılarını açıkça ortaya çıkardı ve onların faaliyetlerini zahmetsizce ortaya çıkardı.
8161[.]İngiltere, DaVinci Group'un ana merkezi olarak hizmet veriyor ve hizmet koleksiyonlarını sergiliyor. Sadece bu da değil, aynı zamanda 150.000 Moskova CCTV kamerasına erişimleri de var.
25 Ağustos 2018'den bu yana DaVinci Project sitesi davincigroup gibi alan adlarına bağlantılar içeriyor[.]çevrimiçi.
Dizüstü bilgisayarları sergileyen çıplak Rus modellerinin yer aldığı gülünç Instagram da dahil olmak üzere sosyal medya profillerine bağlanıyor.
DaVinci, Instagram'da açık reklamlar ve bilgisayar korsanlığı ve gözetleme çalışmalarına dair kısa görüntüler sergiledi.
Müşteriler bizimle Telegram aracılığıyla iletişime geçiyor ve web sitelerinin Bize Ulaşın sayfasında işle ilgili birden fazla hesap listeleniyor.
DaVinci Tarafından Sunulan Hizmetler
Aşağıda sunulan tüm hizmetlerden bahsettik: –
- WhatsApp/Viber'e sızma – yazışma arşivi ile 350.000 ruble paralel erişim.
- Uzaktan mesaj içeren VK mimarisi – VKontakte sunucularına özel 500.000 ruble.
- TV'ye girmek 500.000p'den başlıyor.
- Pk/mobil hırsızlık – 150.000p.
- 100.000p'den sosyal ağ/messenger hesaplarının çalınması.
- Gmail arşivi – 250.000p.
- Kurumsal posta, 150.000p.
- Hücresel kulelerden bilgi çekilmesi – 300 000p'den
- İnternet trafiğinin kesilmesi – 400.000p'den itibaren
- Cep telefonu hareketlerini izleme – haftada 900.000p'den
- Çalınan arabaları arayın – 200 000p
- Çıkış/giriş yasağının kurulması/kaldırılması – 100.000p
- Telgraf hackleme – 500.000p
- Phys ile ilgili kapsamlı dosyalar. kişiler – 20.000 ruble'den itibaren, Tüzel kişi. kişi – 30.000 ruble'den
- İçişleri Bakanlığı (Rusya) talepleri – 1500 ruble'den.
- Interpol Arama – 50.000 rubleden.
- Europol Arama – 80.000 rubleden.
- Silahlar (Vatandaşın üzerinde kayıtlı silahlar) Arama – 5.000 ruble'den.
- Sınırı geçme Arama – 11.000 rubleden.
- Uçuş Yolcu listesi – 10.000 rubleden.
- IP verilerini belirleyin – 100.000 ruble'den.
- Banka Hesabı bakiyesi (bakiyesi) – 20.000 ruble'den.
- Hedefin kullandığı ATM'lerin adresleri – ayda 30.000 ruble'den
- 1 ay boyunca metin içeren SMS ayrıntıları: Rusya Federasyonu'ndaki herhangi bir operatör – 150.000 ruble'den.
- Flash, Rusya Federasyonu'ndaki herhangi bir operatör (tüm operatörler) – 40.000 ruble'den.
- Çağrı noktalarının harita üzerinde BS aracılığıyla işaretlenmesi aylık (tüm operatörler) – 10.000 ruble'den.
CERT-UA raporları, DaVinci Grubu paralı askerlerinin Rusya'nın Ukrayna'yı hedef almasına yardım edebileceğini öne sürüyor. Çevrimiçi varlıklarını incelemek, yeteneklerini ancak operasyonel güvenlik eksikliğini gösteriyor.
DaVinci Grubu, siber suçlarla Rus hükümeti arasındaki çizgiyi bulanıklaştıran düşük seviyeli bir paralı asker tehdit grubudur.
Perimeter81 kötü amaçlı yazılım korumasıyla Truva atları, fidye yazılımları, casus yazılımlar, rootkit'ler, solucanlar ve sıfır gün saldırıları dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Hepsi inanılmaz derecede zararlıdır ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.