
Ukrayna Tehdit İstihbarat Grubu UAC-0099, siber savaş yeteneklerini önemli ölçüde geliştirerek Ukrayna devlet yetkililerini, savunma güçlerini ve savunma endüstriyel girişimlerini hedefleyen sofistike yeni bir kötü amaçlı yazılım araç seti kullandı.
Ulusal Siber Olay Müdahale Ekibi CERT-UA, yeni tanımlanan Matchboil Yükleyici kötü amaçlı yazılımları için birincil dağıtım mekanizması olarak HTA (HTML Uygulaması) dosyasını kullanan bir dizi koordineli saldırıyı belgeledi.
Bu saldırılar, ağırlıklı olarak UKR.NET adreslerinden gönderilen ve resmi mahkeme çağrıları olarak maskelenen özenle hazırlanmış kimlik avı e -postalarıyla başlar.
.webp)
E-postalar, kurbanları kötü niyetli HTA bileşenleri içeren çift aralıklı dosyaları indirmeye yönlendiren kısaltılmış URL’ler de dahil olmak üzere meşru dosya paylaşım hizmetlerine bağlantılar içerir.
Bu sosyal mühendislik yaklaşımı, ilk kullanıcı şüphesini atlamak için yasal belgelerin algılanan meşruiyetinden yararlanmaktadır.
CERT-UA analistleri, HTA dosyalarının, tehlikeye atılan sistemlerde birden fazla kalıcılık mekanizması oluşturmak için tasarlanmış yoğun bir şekilde gizlenmiş VBScript içerdiğini belirledi.
Yürütme üzerine, kötü amaçlı komut dosyası, onaltılık veri içeren “DocumentTemp.txt”, PowerShell kodlu “TemporaryDoc.txt” içeren birkaç kritik dosya oluşturur ve sürekli sistem erişimi için “PDFOPentask” adlı zamanlanmış bir görev oluşturur.
Tehdit aktörleri, üç birincil araçtan oluşan çok bileşenli bir kötü amaçlı yazılım ekosistemi geliştirdiler: Matchboil, ilk yükleyici görevi görür, Matchwok uzaktan komut yürütme için bir arka kapı görevi görür ve Dragstare kapsamlı bir veri silmesi olarak çalışır.
Bu kötü amaçlı yazılım üçlüsü, grubun önceki kampanyalardan ilerlemesini gösterir ve daha kalıcı, çok aşamalı saldırı operasyonlarına doğru bir kayma önerir.
Enfeksiyon mekanizması ve kalıcılık mimarisi
C#’da geliştirilen kibrit yükleyici, kalıcı sistem uzlaşmasını sağlayan sofistike çok aşamalı dağıtım işlemi uygular.
.webp)
İlk HTA Dosya Yürütme, programı kullanarak planlanan “PDFOPentask” görevinin oluşturulmasını tetikler:-
schtasks.exe /create /tn PdfOpenTask /tr "powershell.exe -WindowStyle Hidden -executionpolicy bypass -noprofile -c Invoke-Expression (Get-Content '%TMP%\temporarydoc.txt' -Raw)" /sc once /st 12:02 /f
Bu görev, onaltılık kodlu verileri yürütülebilir baytlara dönüştürür, bunları “%public%\ downloads \ animalUpdate.txt” olarak yazar, ardından dosyayı yürütme için başka bir planlanmış görevi oluştururken “animalUpdate.exe” olarak taşır.
Yükleyici daha sonra, CPU donanım tanımlayıcıları, BIOS seri numaraları ve MAC adresleri dahil olmak üzere sistem parmak izi verilerini toplar ve bu bilgileri HTTP başlıkları aracılığıyla Egyptanimals gibi alanlarda barındırılan komut ve kontrol sunucularına iletir.[.]com ve geostat[.]Lat.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın