Ukrayna, Orta Asya Siber Casusluk Kampanyasını Belirledi

Ukrayna Bilgisayar Acil Müdahale Ekibi Pazartesi günü, kimliği belirsiz bir devlet kurumunun 18 Nisan ile 20 Nisan tarihleri ​​arasında Tacikistan karakolundan e-postalar aldığını açıkladı. CERT-UA, büyükelçiliğin gelen kutusunun muhtemelen ele geçirildiğini söyledi.

Bazı kimlik avı e-postaları, kötü amaçlı makrolarla yüklü bir belge içeriyordu ve diğerleri, alıcıları belgeyi internetten indirmeye teşvik ediyordu.

Casusluk araçları arasında bir arka kapı, keylogger ve CERT-UA’nın Stillarch’ı çağırdığı kötü amaçlı bir program vardı. Ukrayna hükümeti kampanyayı UAC-0063 olarak izliyor.

Olası Rusya bağlantısı Stillarch’tan geliyor. Bu ayın başlarında yapılan analizde, Bitdefender aynı kötü amaçlı yazılıma DownEx adını verdi (bkz: Orta Asya’da Siber Casusluğun Arkasında Muhtemelen Rus Grubu Var).

Bitdefender’dan güvenlik araştırmacıları, Rus devlet bilgisayar korsanlarının DownEx’in ve bununla ilişkili Orta Asya’daki bilgisayar korsanlığı olaylarının arkasında olduğuna dair somut kanıtları olmadığını yazdı. Moskova bağlantısına işaret eden göstergeler arasında, Microsoft Office 2016’nın Rusça konuşulan ülkelerde popüler olan “SPecialiST RePack” olarak bilinen crackli sürümüyle oluşturulmuş bir yem belgesi de vardı. DownEx ayrıca, daha önce APT28’de gözlemlenen bir uygulama olan Fancy Bear, Python ve C++ olmak üzere iki programlama dilinde yazılmıştır.

Ukraynalı siber savunucular, bilgisayar korsanlarının kötü amaçlı yazılımın analizini engellemek için Pyarmor ve Themida paketleyiciyi dağıtmak da dahil olmak üzere gizleme yöntemleri kullandığını söylüyor.