Ukrayna Bilgisayar Acil Müdahale Ekibi (CERT-UA), Ukrayna kurumlarını bilgi çalan kötü amaçlı yazılımları hedefleyen yeni bir siber saldırı seti ortaya koydu.
Ajans, faaliyetin askeri oluşumlara, kolluk kuvvetlerine ve yerel öz-yönetim organlarına, özellikle Ukrayna’nın doğu sınırına yakın olanlara yönelik olduğunu söyledi.
Saldırılar, makro özellikli bir Microsoft Excel elektronik tablo (XLSM) içeren kimlik avı e-postalarının dağıtılmasını içerir, bu da açıldığında, iki parça kötü amaçlı yazılımın (PSSW100AVB’den (“% 100 AV bypasslı PowerShell betiği”) alınan bir PowerShell komut dosyasının, bir ters kabuk açan ve daha önce alınmış bir dublajı açan bir powershell komut dosyasının dağıtımını içerir.
Cert-UA, “Dosya adları ve e-posta konu satırları, tahrip edilmiş mülk için tahrip, idari para cezaları, İHA üretimi ve tazminat gibi ilgili ve hassas konulara referans.” Dedi.
“Bu e -tablolar, belgeyi açıp makroları etkinleştirdikten sonra otomatik olarak kötü amaçlı yazılımlara dönüşen ve kullanıcının bilgisi olmadan yürütülen kötü amaçlı kod içerir.”
C/C ++ ile yazılan GiftedCrook, Google Chrome, Microsoft Edge ve Mozilla Firefox gibi web tarayıcılarından çerezler, göz atma geçmişi ve kimlik doğrulama verileri gibi hassas verilerin çalınmasını kolaylaştırır.
E -posta mesajları, genellikle e -posta istemcilerinin web arayüzü aracılığıyla, mesajlara bir meşruiyet kaplaması ve aday kurbanları belgeleri açmaya yönlendirmek için uzlaşmış hesaplardan gönderilir. CERT-UA, belirli bir ülkeyle bağlantılı olmamasına rağmen, etkinliği bir tehdit kümesi UAC-0226’ya bağladı.
Gelişme, UNC5837 olarak adlandırılan şüpheli bir Rusya-Nexus casusluk aktörü olarak geliyor.
Google Tehdit İstihbarat Grubu (GTIG), “Kampanya, kurban makinelerinden uzak masaüstü protokol (RDP) bağlantıları kurmak için imzalı .rdp dosya ekleri kullandı.” Dedi.
“Etkileşimli oturumlara odaklanan tipik RDP saldırılarının aksine, bu kampanya yaratıcı bir şekilde kaynak yeniden yönlendirmeyi (kurban dosya sistemlerini saldırgan sunucularına eşleme) ve remoteApps (kurbanlara saldırgan kontrollü uygulamalar sunmak).”
RDP kampanyasının daha önce Ekim 2024’te CERT-UA, Amazon Web Services ve Microsoft tarafından ve daha sonra Aralık ayında Trend Micro tarafından belgelendiğini belirtmek gerekir. CERT-UA, faaliyeti UAC-0215 adı altında izlerken, diğerleri onu Rus devlet destekli hack grubu APT29’a bağladı.
Saldırı, şifreler gibi potansiyel olarak hassas veriler de dahil olmak üzere, dosya söndürme ve pano yakalama gibi kötü niyetli etkinlikleri otomatikleştirmek için Pyrdp adlı açık kaynaklı bir aracın olası kullanımı için de dikkat çekicidir.
GTIG Pazartesi raporunda, “Kampanya, saldırganların kurban sürücülerini okumasını, dosyaları çalmasını, pano verilerini (şifreler dahil) yakalamasını ve kurban ortam değişkenlerini almasını sağladı.” Dedi. “UNC5837’nin birincil amacı casusluk ve dosya çalma gibi görünüyor.”
Son aylarda, kimlik avı kampanyaları, Legion Loader’ı (diğer adıyla Satacom) dağıtmak için sahte captchas ve Cloudflare turnikesi kullanılarak gözlemlenmiştir, bu da daha sonra “Google Drive” adlı kötü niyetli bir krom tabanlı tarayıcı uzantısı bırakmak için bir kanal görevi görür.
Netskope Tehdit Labs, “İlk yük, bir kurban belirli bir belgeyi aradığında ve kötü niyetli bir web sitesine çekildiğinde başlayan bir sürücü by indirme enfeksiyonu ile yayıldı.” Dedi. “İndirilen belge, kurban tarafından tıklandıktan sonra onu bir Cloudflare turnikesi captcha’ya ve daha sonra bir bildirim sayfasına yönlendirecek bir captcha içeriyor.”
Sayfa, kullanıcıları sitedeki bildirimlere izin vermelerini ister, bundan sonra kurbanlar, tamamlandıktan sonra, aradıkları belgeyi indirmek için ClickFix tarzı talimatlar sağlayan bir sayfaya yeniden yönlendirilen ikinci bir Cloudflare Turnstile captcha’ya yönlendirilir.
Gerçekte, saldırı, Lejyon Yükleyicisini başlatmaktan sorumlu olan bir MSI yükleyici dosyasının teslimatının ve yürütülmesinin yolunu açar, bu da ara PowerShell komut dosyalarını indirmek ve çalıştırmak için bir dizi adım gerçekleştirir ve sonuçta Rogue tarayıcı uzantısını tarayıcıya ekler.
PowerShell komut dosyası, etkinleştirilecek uzantının tarayıcı oturumunu sonlandırır, ayarlarda geliştirici modunu açar ve tarayıcıyı yeniden başlatır. Nihai hedef, çok çeşitli hassas bilgileri yakalamak ve saldırganlara eklemektir.