Ukrayna askeri birimleri, Merlin adı verilen Go tabanlı açık kaynaklı bir sömürü sonrası araç seti sunmak için drone kılavuzlarından yararlanan bir kimlik avı kampanyasının hedefi.
Securonix araştırmacıları Den Iuzvyk, Tim Peck ve Oleg Kolesnikov şunları söyledi: “Dronlar veya İnsansız Hava Araçları (İHA’lar), Ukrayna ordusu tarafından kullanılan ayrılmaz bir araç olduğundan, İHA servis kılavuzları temalı kötü amaçlı yazılım içeren yem dosyaları ortaya çıkmaya başladı.” The Hacker News ile paylaşılan bir rapor.
Siber güvenlik şirketi kampanyayı bu isim altında takip ediyor STARK#VORTEX.
Saldırının başlangıç noktası, açıldığında, gizlenmiş bir ikili dosyayı getirmek üzere uzak bir sunucuyla iletişim kurmak üzere tasarlanmış PowerShell kodunu yürütmek üzere HTML sayfalarından birinin içine yerleştirilmiş kötü amaçlı JavaScript’i çalıştıran bir Microsoft Derlenmiş HTML Yardımı (CHM) dosyasıdır.
Windows tabanlı yükün kodu, Merlin Agent’ı çıkarmak için çözülür ve Merlin Aracısı, kullanım sonrası eylemler için bir komuta ve kontrol (C2) sunucusuyla iletişim kuracak şekilde yapılandırılır ve ana bilgisayar üzerindeki kontrolü etkili bir şekilde ele geçirir.
Araştırmacılar, “Saldırı zinciri oldukça basit olsa da, saldırganlar tespit edilmekten kaçınmak için bazı oldukça karmaşık TTP’lerden ve gizleme yöntemlerinden yararlandılar” dedi.
Merlin kullanılarak Ukrayna hükümet kuruluşları ilk kez hedef alınıyor. Ağustos 2023’ün başlarında, Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), bilgisayarlara açık kaynaklı araç bulaştırmak için CHM dosyalarını tuzak olarak kullanan benzer bir saldırı zincirini ortaya çıkardı.
CERT-UA, izinsiz girişleri UAC-0154 adı altında izlediği bir tehdit aktörüne bağladı.
Araştırmacılar, “Saldırı zincirinde kullanılan dosya ve belgeler, savunmaları aşma konusunda oldukça yeteneklidir” diye açıkladı.
Yapay Zeka ile Yapay Zekayla Mücadele Edin — Yeni Nesil Yapay Zeka Araçlarıyla Siber Tehditlerle Mücadele Edin
Yapay zekanın yönlendirdiği yeni siber güvenlik zorluklarının üstesinden gelmeye hazır mısınız? Siber güvenlikte artan üretken yapay zeka tehdidini ele almak için Zscaler ile kapsamlı web seminerimize katılın.
Becerilerinizi Güçlendirin
“Genellikle internet üzerinden bir Microsoft yardım dosyası almak alışılmadık bir durum olarak kabul edilir. Ancak saldırganlar, yem belgelerini, şüphelenmeyen bir kurbanın yardım temalı bir belge veya dosyada görünmesini bekleyebileceği bir şekilde görünecek şekilde çerçeveledi.”
Gelişme, CERT-UA’nın, Rusya devleti destekli APT28 ekibi tarafından gerçekleştirilen, ülkedeki isimsiz bir kritik enerji altyapısı tesisine yönelik başarısız bir siber saldırı tespit ettiğini açıklamasından haftalar sonra geldi.