Araştırmacılar, 4 Aralık 2024’te, Ukrayna Sanayiciler ve Girişimciler Birliği’nden geldiği iddia edilen kötü amaçlı e-postaların dağıtıldığı ve alıcıları bir NATO standardizasyon konferansına davet ettiği bir kimlik avı saldırısı bildirdi.
E-postalar, kötü amaçlı yazılım dağıtarak sistemleri tehlikeye atmayı amaçlıyordu ve CERT-UA, kullanıcıları istenmeyen e-postalara, özellikle de bilinmeyen kaynaklardan gelen eklere veya bağlantılara sahip olanlara karşı dikkatli olmaları konusunda uyarıyor.
Bir kurbana, kötü amaçlı köprü bağlantısı içeren bir kimlik avı e-postası gönderildi ve kurban köprüye tıkladığında, kurbanın “list_02-1-437.lnk” adlı bir kısayol dosyasını indirmesine neden oldu.
Yürütülmesinin ardından bu LNK dosyası, sistemin mshta.exe yardımcı programından yararlanarak “start.hta” dosyasının indirilmesini ve başlatılmasını başlattı ve bu da kurbanın sistemi için potansiyel bir güvenlik riski oluşturdu.
HTA dosyası, yanıltıcı bir USPP mektubunun indirilmesini ve açılmasını başlatan ve aynı zamanda kötü amaçlı dosyalar içeren bir ZIP arşivini indiren, zararlı yükleri indirmek ve yürütmek için PowerShell’den yararlanan kötü amaçlı bir komut dosyasıdır.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Bu dosyalar yerel AppData dizinine çıkarıldığında meydana gelen bir BAT dosyasının yürütülmesi, sistemin güvenliğini tehlikeye atma ve verileri çalma potansiyeline sahiptir.
Saldırı, sistem başlatıldığında otomatik yürütmeyi sağlamak için otomatik çalıştırma dizinine stratejik olarak yerleştirilen kötü amaçlı bir komut dosyası olan “Registry.hta”nın dağıtımını içerir.
Betik, indirilen belirli dosyaların silinmesi ve ardından MESHAGENT olarak bilinen bir uzaktan erişim Truva Atı (RAT) olan “update.exe”nin başlatılması da dahil olmak üzere bir dizi eylemi başlatır ve güvenliği ihlal edilen sistem üzerinde yetkisiz uzaktan kontrol sağlayarak kötü niyetli faaliyetlere olanak tanır. veri hırsızlığı, gözetleme ve daha fazla uzlaşma olarak.
Tehdit aktörü UAC-0185 (UNC4221), en az 2022’den beri faaliyet gösteriyor ve çeşitli platformlardan gelen hassas bilgileri hedef alıyor. Son araştırmalar grupla bağlantılı ek kaynakları ortaya çıkararak uzun süreli ve karmaşık siber saldırılara işaret ediyor.
CERT-UA’ya göre grubun öncelikli hedefleri arasında değerli kimlik bilgilerini ve hassas verileri sızdırmak için Signal, Telegram ve WhatsApp gibi mesajlaşma uygulamalarının yanı sıra DELTA, TENETA ve Kropyva gibi askeri sistemlerin güvenliğinin ihlal edilmesi yer alıyor.
Siber suçlular, daha az yaygın olsa da, MESHAGENT ve ULTRAVNC gibi özel araçlar kullanarak sistemleri tehlikeye atmayı amaçlayan Ukrayna savunma-sanayi kompleksi kuruluşlarının ve Savunma Kuvvetlerinin çalışanlarına yönelik hedefli saldırılar gerçekleştiriyor.
Başarılı olan izinsiz girişler, kurbanların bilgisayarlarına yetkisiz uzaktan erişime izin verir; bu da veri hırsızlığına, sistemin bozulmasına veya kötü niyetli ek faaliyetlere yol açabilir.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin