Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), Ukrayna Güvenlik Servisi gibi davranarak uzak masaüstü erişimi sağlayabilen kötü amaçlı yazılımlar dağıtmayı amaçlayan yeni bir kimlik avı kampanyası konusunda uyarıda bulundu.
Kurum, faaliyeti UAC-0198 adı altında izliyor. Temmuz 2024’ten bu yana ülkedeki hükümet organlarıyla ilgili olanlar da dahil olmak üzere 100’den fazla bilgisayarın enfekte olduğu tahmin ediliyor.
Saldırı zincirleri, MSI yükleyici dosyası içeren bir ZIP arşiv dosyasının iletilmesi için e-postaların toplu olarak dağıtılmasını ve bu dosyanın açılmasıyla ANONVNC adı verilen kötü amaçlı yazılımın dağıtılmasını içeriyor.
MeshAgent adlı açık kaynaklı bir uzaktan yönetim aracına dayanan ANONVNC, enfekte olmuş bilgisayarlara gizlice yetkisiz erişime olanak tanır.
Gelişme, CERT-UA’nın UAC-0102 adlı bilgisayar korsanı grubunu, kullanıcıların kimlik bilgilerini çalmak için UKR.NET’in giriş sayfasını taklit eden HTML ekleri yayan kimlik avı saldırılarıyla ilişkilendirmesinin ardından geldi.
Geçtiğimiz birkaç hafta içinde, kurum ayrıca PicassoLoader kötü amaçlı yazılımını dağıtan ve Cobalt Strike Beacon’ı tehlikeye atılmış sistemlere yerleştirmeyi amaçlayan kampanyalarda bir artış konusunda uyardı. Saldırılar, UAC-0057 olarak izlenen bir tehdit aktörüyle ilişkilendirildi.
CERT-UA, “UAC-0057’nin ilgi odağı olan kişilerin hem proje ofislerinin uzmanları hem de Ukrayna’nın ilgili yerel yönetimlerinin çalışanları arasından ‘yükleniciler’ olabileceğini varsaymak makuldür” dedi.