Rusya bağlantılı bilgisayar korsanları tekrar tekrar buna geri döndü, bu sefer yükseltilmiş araçlar ve Ukrayna hükümet sistemlerini hedefleyen daha kapsamlı bir oyun kitabı.
Ukrayna’nın ulusal bilgisayar acil müdahale ekibi, bir devlet kuruluşunun bilgi ve iletişim sistemine (IC’ler) Rusya’nın GRU askeri istihbarat hizmeti tarafından işletildiğine inanılan meşhur hackleme grubu olan UAC-0001’e (ICS) yakın zamanda bir siber saldırı kampanyasını bağladı.
Ayrıca okuyun: Rusya Gru, Western Müttefiklerinden Ukrayna’ya yardım teslimatlarını gözetlemek için IP kameraları ve lojistik firmalarını hackliyor
Mart ve Mayıs 2024 arasında yapılan bir soruşturmada, Siber Güvenlik Müdahaleleri daha önce görülmemiş iki kötü amaçlı yazılım suşunu ortaya çıkardı –Beardshell Ve İnce– hükümet sistemlerinin içine giriyor. Saldırganlar ayrıca yaygın olarak bilinen bir bileşen konuşlandırdı ANTLAŞMA komut ve kontrol çerçevesi, bir belgenin içinde gizlenmiş “Act.doc” ve şifreli mesajlaşma uygulama sinyali ile gönderildi.
İlk enfeksiyon vektörü hemen net olmasa da, analistler daha sonra kötü amaçlı yazılımların, radarın altına uçmak, güvenilir hizmetleri kullanmak ve kayıt defteri tutma ve planlanan görevler yoluyla kalıcılığı korumak için tasarlanmış birden fazla yük yüklü makro bağcıklı bir kelime belgesi kullanarak hedefine ulaştığını keşfettiler.
Ukrayna hükümet sistemlerine karşı saldırı nasıl çalıştı
Saldırganlar kötü amaçlı yazılımlarını sinyal üzerinden teslim edilen iyi huylu bir kelime dosyasının içinde gizledi.
Bir kullanıcı makroları etkinleştirdiyse, belge sistem üzerine iki dosya yerleştiren ve bir Com-hiJacking Kaçırılan kayıt defteri girişi explorer.exe Sessizce kötü niyetli bir DLL başlatmak için. Bu DLL daha sonra başka bir dosyayı çözdü (windows.png) nihayetinde lansmanını tetikleyen kabuk kodu içerir. ANTLAŞMA kötü amaçlı yazılım çerçevesi – hepsi kullanıcıya doğrudan görünen hiçbir şey bırakmadan.
Siber saldırıların sömürü sonrası aşamasında popüler olan .Net tabanlı bir kırmızı takım aracı olan Covenant, burada indirmek ve yürütmek için kullanıldı Playsndsrv.dll ve bir WAV dosyası (örnek-03.wavnihayetinde başlatmak için kodlanmış talimatlar içeren) Beardshell-Özel olarak inşa edilmiş bir arka kapı.
Kalıcılık? Ayrıca kaplı. Beardshell, Microsoft’un altında planlanmış bir göreve bağlı ayrı bir kayıt defteri girişinden erişimi sürdürdü Systemoundssservice. Klasik APT28.
Beardshell ve Slimagent aslında ne yapıyor?
Her iki kötü amaçlı yazılım aracı C ++ ile yazılmıştır ve gizli ve veri toplama için tasarlanmıştır:
Beardshell API’si kullanarak saldırgana bağlanır Icedrivekötü amaçlı yazılımların şifreli PowerShell komut dosyaları almasına ve geleneksel güvenlik araçlarını tetiklemeden verileri dışarı atmasına izin veren meşru bir bulut depolama sağlayıcısı. Enfekte olmuş her sistem, donanım ve sistem tanımlayıcılarından türetilmiş benzersiz bir karma kullanılarak kendi dizini alır.
İnce Periyodik ekran görüntüleri alır ve AES + RSA kullanarak bunları şifreler ve bunları zaman damgalı bir formatta yerel olarak kaydeder. Odadaki görsel casus, kullanıcıyı uyarmadan ekranı sessizce kaydediyor.
Her iki araç hakkında özellikle zeki ve tehlikeli olan şey, komut ve kontrol (C2) altyapısı olarak meşru hizmetlerin (Koofr ve Icedrive) kullanılmasıdır. Bu, kabataslak IP adreslerinden ve alanlarından kaçındıkları ve geleneksel tehdit intel kara listelerini neredeyse işe yaramaz hale getirdikleri anlamına geliyor.
Neden Önemlidir
Bu son kampanya sadece başka bir siber saldırı değil, Ukrayna’daki savaşının başlangıcından bu yana Rusya tarafından istihdam edilen hibrit savaş taktiklerinin artan bir modelinin bir parçası. 2016 yılında DNC e -posta sızıntılarına bağlı olan APT28, 2018’de Olimpiyat Destroyer ve NATO ve AB kurumlarına sayısız saldırı, Kremlin’in en aktif siber birimlerinden biridir.
Ayrıca okuyun: Rus hackerlar tarafından yerel Ukrayna hükümetini hedeflemek için trojanize edilen ‘Robot değilim’ Recaptcha
Taktikleri gelişti. Sistemlere girme yollarını zorlamak yerine, şimdi kimlik avı belgelerinden, yük teslimatı için sinyal gibi şifreli mesajlaşma uygulamalarından ve iletişim için güvenilir API’lardan yararlanıyorlar. Ve hala her zaman zayıflamaya çalıştıkları aynı tür kritik hükümet altyapısını hedefliyorlar.
CERT-UA’ya göre, kötü amaçlı yazılım, merkezi bir hükümet yönetici kurulunun bilgi sistemlerinde tanımlandı-grubun Ukrayna eyalet cihazının üst kademelerini hedeflediğine dair açık bir işaret.
Savunma, Tespit ve Bulut API sorunu
CERT-UA, güvenlik ekiplerini-özellikle hükümetler ve kritik altyapı içinde-trafiği yakından izlemeye çağırıyor. App.koofr.net Ve api.icedrive.netçünkü bunlar C2 uç noktaları olarak kullanılmaktadır.
Danışma ayrıca saldırının başarısının şunları söyledi:
Ofis belgelerinde makroları etkinleştiren kullanıcılar
Sinyal tabanlı teslimatı izleyemeyen ana bilgisayar güvenlik araçları
“Görünmez” kontrol kanalları olarak Icedrive ve Koofr gibi güvenilir hizmetlerin kötüye kullanılması
Başka bir uyandırma çağrısı: Endpoint savunmaları statik göstergelere güvenemez. Kötü amaçlı yazılım artık gündelik uygulamalarınızı, bulut platformlarınızı ve kayıt defteri girişlerinizi kullanıyor.
Daha büyük resim
APT28 her zaman eğrinin önünde kaldı ve bu kampanya bir istisna değil. Makro yükler, kayıt defteri kaçırma, bulut C2 ve çok aşamalı yürütme birlikte zincirleyerek grup sadece uyum sağlamaz. Gelişiyor.
Ve bu saldırılar Ukrayna’da hedeflenmiş gibi görünse de, sergilenen taktikler, teknikler ve prosedürler (TTP’ler) Batı’daki her hükümet ve işletme organizasyonunu ilgilendirmelidir.
Çünkü bir kelime doktoru, bir PNG ve bir WAV dosyası savunmanlarınızı atlayabilirse, başka ne zaten içinde gizleniyor?
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.