Olarak bilinen gelişmiş kalıcı tehdit (APT) grubu UAC-0063 HatVibe olarak adlandırılan bilinen bir kötü amaçlı yazılım sunmak amacıyla başka bir hedefe saldırmak için bir kurbana sızarak elde edilen meşru belgelerden yararlandığı görülmüştür.
“Bu araştırma, UAC-0063’ün operasyonlarının resmini tamamlamaya odaklanıyor, özellikle genişlemelerini Orta Asya’ya ilk odaklanmalarının ötesinde belgeliyor, Almanya, İngiltere, Hollanda, Romanya ve Gürcistan dahil olmak üzere birçok Avrupa ülkesindeki büyükelçilikler gibi varlıklar gibi kuruluşlar, “Bitdefender Teknik Çözümler Direktörü Martin Zugec, Hacker News ile paylaşılan bir raporda dedi.
UAC-0063, Mayıs 2023’te Romanya Siber Güvenlik Şirketi tarafından Orta Asya’daki devlet kuruluşlarını Downex (AKA Stillarch) olarak bilinen bir veri açığa vurma kötü amaçlı yazılımla hedefleyen bir kampanya ile bağlantılı olarak işaretlendi. APT28 adlı bilinen bir Rus devlet destekli aktörle bağlantıları paylaştığından şüpheleniliyor.
Sadece haftalar sonra, tehdit kümesini takma kümeyi atayan Ukrayna’nın bilgisayar acil müdahale ekibi (CERT-UA), hack grubunun en az 2021’den beri faaliyete geçtiğini ve ülkedeki devlet bedenlerine bir Keylogger (Logpie) ile saldırdığını ortaya koydu. , bir HTML uygulama komut dosyası yükleyici (hatvibe), bir Python arka kapı (CherrySpy veya Downexpyer) ve Downex.
Tehdit oyuncusu Tag-1010 adını atanan kayıtlı Future’s InKt Group’a göre, UAC-0063’ün Orta Asya, Doğu Asya ve Avrupa’daki kuruluşlarda çeşitli varlıkları da hedeflediğine dair kanıtlar var.
Bu ayın başlarında, siber güvenlik firması Sekoia, Hacking ekibi tarafından Kazakistan Cumhuriyeti Dışişleri Bakanlığı’ndan çalınan belgeleri kullanan ve hatvibe kötü amaçlı yazılımları sunan belgeleri kullanan bir kampanyayı belirlediğini açıkladı.
Bitdefender’ın son bulguları, bu davranışın devam ettiğini göstermektedir, girişler nihayetinde Downex, Downexpyer ve yeni keşfedilen bir USB veri exfiltrator, Pyplunderplug adlı Pyplunderplug’u 2023 Ocak ortasında bir Alman şirketini hedefleyen en az bir olayda kodlamaktadır.
Downexpyer, uzak bir sunucu ile kalıcı bir bağlantı sağlamak ve veri toplamak, komutları yürütmek ve ek yükler dağıtmak için komut almak için çeşitli özelliklerle donatılmıştır. Komut ve Kontrol (C2) sunucusundan elde edilen görevlerin listesi aşağıdadır-
- A3 – Belirli bir uzantı kümesini C2 ile eşleştiren dosyaları pesfiltrat
- A4 – Dosyaları ve tuş vuruşlarını C2’ye pespiltratlayın ve şanzımandan sonra bunları silin
- A5 – Komutları Yürütme (varsayılan olarak “SystemInfo” işlevi sistem bilgilerini hasat etmek için çağrılır)
- A6 – Dosya sistemini numaralandırın
- A7 – Ekran görüntüleri alın
- A11 – Başka bir çalışan görevi sonlandırın
Zugec, “Downexpyer’in temel işlevselliklerinin son iki yılda istikrarı, olgunluğunun ve UAC-0063 cephaneliğindeki muhtemelen uzun süredir devam eden varlığının önemli bir göstergesidir.” “Bu gözlemlenen istikrar, Downexpyer’in 2022’den önce zaten operasyonel ve rafine olduğunu gösteriyor.”
Bitdefender, Downex, Downexpyer ve hatvibe ile enfekte olan uzlaşmış makinelerden birinde tuş vuruşlarını – muhtemelen logpie’nin öncüsü – kaydetmek için tasarlanmış bir Python komut dosyası belirlediğini söyledi.
Zugec, “UAC-0063, gelişmiş yetenekleri ve devlet kuruluşlarının kalıcı hedeflemesi ile karakterize edilen sofistike bir tehdit oyuncusu grubunu örneklendiriyor.” Dedi.
“Downexpyer ve Pyplunderplug gibi sofistike implantlar içeren cephaneliği, iyi hazırlanmış TTP’lerle birleştiğinde, casusluk ve istihbarat toplantısına açık bir şekilde odaklanıyor. Belirli bölgelerdeki hükümet kuruluşlarının hedeflenmesi potansiyel Rus stratejik çıkarlarıyla uyumlu.”