Ukrayna Güvenlik Servisi’ni (SSU) taklit eden saldırganlar, ülkenin hükümet kurumlarına ait sistemleri hedef almak ve tehlikeye atmak için kötü amaçlı spam e-postaları kullandı.
Pazartesi günü, Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), saldırganların 100’den fazla bilgisayarı AnonVNC kötü amaçlı yazılımıyla başarıyla enfekte ettiğini açıkladı.
Bazı örnekler, Çin firmasına (Shenzhen Variable Engine E-commerce Co Ltd) ait kod imzalama sertifikası kullanılarak imzalanmış.
“İyi günler, bir dizi kuruluşun kapsamlı denetimiyle bağlantılı olarak, sizden 15 Ağustos 2024’e kadar talep edilen belgelerin listesini 01601, Kiev 1, str. Malopodvalna, 16 adresindeki SBU Ana Müdürlüğüne göndermenizi rica ediyorum. Resmi talebi indirin: Dokumenty.zip,” kötü niyetli e-postalar, SSU tarafından talep edilen bir belge listesi gibi görünen bir eke bağlantı veriyor.
Bu saldırılar bir aydan fazla bir süre önce, 12 Temmuz civarında, gbshost’tan bir Windows yükleyici MSI dosyasını indirecek olan Documents.zip arşivine hiper bağlantılar gönderen e-postalarla başladı[.]Kötü amaçlı yazılımı dağıtmak için tasarlanmış bir net.
CERT-UA, kötü amaçlı yazılımın yeteneklerine dair kesin bir açıklama yapmasa da, UAC-0198 olarak izlenen tehdit grubunun, ele geçirilen bilgisayarlara gizlice erişmesini sağladığını söylüyor.
CERT-UA, özellikle merkezi ve yerel yönetim birimlerinde 100’den fazla etkilenen bilgisayar tespit etti” dedi.
“İlgili siber saldırıların en azından Temmuz 2024’ten bu yana gerçekleştirildiğini ve daha geniş bir coğrafyaya yayılabileceğini unutmayın.”
Ukrayna saldırı altında
Geçtiğimiz ay siber güvenlik şirketi Dragos, Ocak 2024 sonlarında gerçekleşen bir siber saldırıda, Rusya bağlantılı FrostyGoop adlı kötü amaçlı yazılımın, Ukrayna’nın Lviv kentindeki 600’den fazla apartmanın sıfırın altındaki sıcaklıklarda iki gün boyunca ısınmasını engellemek için kullanıldığını açıkladı.
FrostyGoop, doğada keşfedilen dokuzuncu ICS kötü amaçlı yazılımıdır ve birçoğu Rus tehdit gruplarıyla bağlantılıdır. Mandiant CosmicEnergy’yi buldu ve ESET, Sandworm hacker’larının Ukraynalı bir enerji sağlayıcısına yönelik başarısız bir saldırıda kullandığı Industroyer2’yi tespit etti.
Nisan ayında CERT-UA, kötü şöhretli Rus askeri bilgisayar korsanı grubu Sandworm’un Ukrayna’daki 20 enerji, su ve ısıtma kritik altyapı kuruluşunu hedef aldığını ve bazı durumlarda bu kuruluşlara erişim sağladığını açıkladı.
Aralık ayında Sandworm, Ukrayna’nın en büyük telekomünikasyon servis sağlayıcısı olan Kyivstar’ın ağındaki binlerce sistemi hackledi ve sildi. CERT-UA’nın Ekim ayında açıkladığı gibi, Mayıs 2023’ten bu yana 11 Ukraynalı telekom servis sağlayıcısının ağlarına sızdılar.
Ukrayna Savunma Bakanlığı’na bağlı Ana İstihbarat Müdürlüğü (GUR), daha önce Rusya Uzay Hidrometeorolojisi Merkezi, Rusya Federal Hava Taşımacılığı Ajansı ve Rusya Federal Vergi Dairesi’ne yönelik ihlallerden sorumlu tutulmuş olmasının ardından, Mart ayında Rusya Savunma Bakanlığı’na da siber saldırı düzenlediğini iddia etti.