Rus GRU Bilgisayar Korsanları Devlet E-posta Gelen Kutularına Ulaşıyor
Bay Mihir (MihirBagwe) •
20 Haziran 2023
Ukrayna’daki siber güvenlik savunucuları, Kremlin askeri istihbaratının devlet kurumları tarafından kullanılan açık kaynaklı e-posta sunucularına sızma çabası da dahil olmak üzere çok sayıda Rus hedefli kimlik avı kampanyasını ortaya çıkardı.
Ayrıca bakınız: VMware Carbon Black Uygulama Kontrolü
Ukrayna Bilgisayar Acil Durum Müdahale Ekibi, siber güvenlik şirketi Recorded Future ile işbirliği içinde, Roundcube Webmail sunucularını etkileyen bir hedefli kimlik avı kampanyasının ayrıntılarını Salı günü açıkladı. Recorded Future, olası hedeflerin arasında kimliği belirlenemeyen bir merkezi Ukrayna devlet dairesi ve bölgesel bir savcılık ofisi olduğunu söylüyor.
Ukraynalı yetkililer faili, kendisi de GRU olarak bilinen Rusya ordusu genelkurmay Başkanlığı’nın dış istihbarat biriminin bir birimi olan APT28 olarak tanımladı. Rus bilgisayar korsanlarının 40’tan fazla Ukraynalı kuruluşa kimlik avı e-postaları gönderdiğini söylüyorlar.
CERT-UA Pazartesi günü, popüler web portalı Ukr.net’in teknik desteğini taklit etmeye çalışan e-posta adresini kullanan ayrı bir kampanya belirledi. Ekli bir PDF, kimlik bilgilerini toplamak amacıyla web portalının kopyalanmış bir sürümüne bir bağlantı içeriyordu. Yem, hesaplarını kötü amaçlı bağlantıyla yeniden doğrulamadıkları sürece kullanıcıları engellemekle tehdit etti. Ukraynalı yetkili, kampanyayı UAC-0102 adlı bir aktöre bağladı.
Ukrayna siber uzayının yakın gözlemcileri, son aylarda Rus kaynaklardan gelen kimlik avı kampanyalarının yoğunlaştığını kaydetti. Google’ın Tehdit Analizi Grubundan araştırmacılar, bu yılın ilk çeyreğinde Rusya tarafından başlatılan gözlemlenen kimlik avı saldırılarının %60’ının Ukrayna’daki kullanıcıları hedef aldığını bildirdi (Ukrayna Kimlik Avı Saldırıları ve Bilgi Operasyonlarıyla Karşı Karşıya).
En son APT28 kampanyası ayrıca, ek Ukrayna hükümet kuruluşlarının ve Ukrayna askeri uçak altyapısının modernizasyonu ve yenilenmesinde yer alan bir organizasyonun keşif faaliyetini gerçekleştirdi. Recorded Future, altyapının Kasım 2021’den beri yürürlükte olduğunu söylüyor.
GRU bilgisayar korsanları, devam eden Rus işgaliyle ilgili haberleri spearphishing.bait olarak kullandı, en az bir durumda e-posta adresini kullandı. [email protected]. E-postalar, Roundcube Webmail’deki bir siteler arası komut dosyası çalıştırma kusuru olan CVE-2020-35730’den yararlanan kötü amaçlı JavaScript dosya eki içeriyordu. Kod, iki JavaScrpt palyload’ı daha getirdi ve yürüttü. Bilgisayar korsanlarının yararlandığı diğer kusurlar CVE-2020-1264 ve CVE-2021-44026’dır. Komut dosyaları, gelen e-postaları yeniden yönlendirmek ve oturum çerezlerini, kullanıcı bilgilerini ve kişileri toplamak için tasarlanmıştır.
Kaydedilen Gelecek, bu kampanyanın, artık yama uygulanmış Microsoft Outlook sıfır gün CVE-2023-23397’den yararlanmaya yönelik bir 2022 APT28 kampanyasıyla çakışma belirtileri gösterdiğini söylüyor. Benzerlikler arasında, 2022 kampanyasında ve Roundcube kampanyasında kullanılan, muhtemelen GRU’ya ait bir IP adresi var.