Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar , Devlet
Kimlik Bilgilerini Çalmak İçin RomCom, PicassoLoader ve njRAT Kötü Amaçlı Yazılımını Kullanan Saldırganlar
Bay Mihir (MihirBagwe) •
10 Temmuz 2023
RomCom RAT adlı uzaktan erişim Truva Atı’nın arkasındaki tehdit aktörü ve diğer Rus yanlısı gruplar, bu hafta Litvanya’nın Vilnius kentinde yapılacak NATO Zirvesi öncesinde, kötü amaçlı yazılımı dağıtmak için silah haline getirilmiş Microsoft belgelerini ve yazım hatası yapma tekniklerini kullanarak Ukrayna ajanslarını ve müttefiklerini hedef alıyor.
Ayrıca bakınız: İçeriden Gelen Tehditleri Durdurmak için Davranış Analitiği için Yapay Zeka ve Makine Öğrenmesi Nasıl Kullanılır?
NATO ülkeleri, Ukrayna’nın gelecekte örgüte olası üyeliğini Salı ve Çarşamba günleri, Rusya ile sınırı olan ve Şubat 2022’deki Rus işgalinden bu yana Ukrayna’nın açık sözlü bir müttefiki olan Litvanya’da değerlendirecek. Tehdit aktörleri, Ukrayna destekçilerini hedef alarak olayı istismar etti. Ukrayna Bilgisayar Acil Durum Müdahale Ekibine göre, Ukrayna Dünya Kongresi’ni taklit eden sahte web siteleri ve belgelerle.
Düşmanlar, Ukrayna Dünya Kongresi web sitesine şunu ekleyerek kopyaladı: .info sahte bir etki alanı oluşturmak için uzantı, ukrainianworldcongress.info. Yazım hatası yapılan web sitesi, meşru etki alanıyla çarpıcı bir benzerlik taşıyor ukrainianworldcongress.org. Web sitesi kötü amaçlı belgeleri sunar Overview_of_UWCs_UkraineInNATO_campaign.docx Ve Letter_NATO_Summit_Vilnius_2023_ENG(1).docxadında katıştırılmış bir RTF dosyası içeren afchunk.rtf, kurbanların cihazlarına bulaşmak için. Her iki belge de Ukrayna’nın NATO’ya dahil edilmesini desteklediğini beyan ediyor.
Bulgular, 4 Temmuz’da bir Macar IP adresinden gönderilen iki kötü amaçlı belgeyi bulan BlackBerry Tehdit Araştırma ve İstihbarat ekibi tarafından doğrulandı.
CERT-UA, etkinliği UAC-0168’e kadar takip etti. Blackberry, tehdit aktörünün taktiklerini, tekniklerini ve prosedürlerini analiz etti ve operasyonda kullanılan kod ve ağ altyapısına dayanarak kampanyayı RomCom’a bağladı.
CERT-UA, istismar sonrası kronolojiyi detaylandırdı ve kurbanın makinesinin ilk önce SMB ve HTTP kullanarak saldırganın altyapısıyla etkileşime geçtiğini söyledi. Daha sonra, sonunda RomCom RAT’ı yükleyen başka bir yürütülebilir dosyayı yükleyen, şifresini çözen ve başlatan Magicspell kötü amaçlı yazılımı da dahil olmak üzere bir dizi başka yükü indirip dağıttı.
RomCom indirici, cihazın RAM’inin boyutu, kullanıcı adı ve makinenin ağ bağdaştırıcısı hakkında bilgiler dahil olmak üzere hedef sistem hakkında bilgi toplar. Ayrıca kalıcılığın korunmasına ve ek yüklerin konuşlandırılmasına yardımcı olur.
Saldırganlar ayrıca, Microsoft’un uzaktan kod yürütme ayrıcalıklarına ulaşmak için kullanılan Destek Tanılama Aracını etkileyen, artık yamalanmış bir güvenlik açığı olan Follina’dan veya CVE-2022-30190’dan da yararlandı.
CERT-UA, tehdit aktörünün altyapısıyla etkileşime giren 195 IP adresinin izlendiğini söyledi. Bu IP adreslerinin analizi, 30 ülkedeki coğrafi dağılımlarını gösterdi, ancak çoğu VPN hizmetlerine bağlıydı.
BlackBerry, kampanyanın politikacıları hedef alıyor gibi göründüğünü ve esas olarak Ukrayna’da bulunan RomCom’un birkaç kurbanının tespit edildiğini söyledi. Firma ayrıca bilgisayar korsanı tarafından hedef alınan en az bir ABD kurbanının kanıtını da gözlemledi.
Blackberry, “Hedeflenen kurbanlar, Rusya’nın Ukrayna’yı işgalinin ortak çizgisiyle birleşen, askeriye ve sağlık gibi birçok farklı sektörde yer alıyor.” “Mevcut bilgilere dayanarak, bunun RomCom’un yeniden markalaştırıldığı bir operasyon olduğu veya yeni bir tehdit grubunu destekleyen bu yeni kampanyanın arkasında RomCom tehdit grubunun bir veya daha fazla üyesinin olduğu sonucuna varmak için orta ila yüksek güvenimiz var.”
njRAT Kampanyası
Cuma günü CERT-UA, adı açıklanmayan Ukrayna devlet kurumlarını hedef alan benzer bir kampanya konusunda uyarıda bulundu. Bu kampanyadaki tehdit aktörü, adlı bir XLS belgesini dağıtmak için hedef odaklı kimlik avı kullandı. PerekazF173_04072023.xls Ve Rahunok_05072023.xls, PicassoLoader kötü amaçlı yazılımını yükleyen. Bu kötü amaçlı yazılım ayrıca kurbanın sisteminden veri sızdırmak için kullanılan ikincil bir yük olan njRAT kötü amaçlı yazılımını da yükledi.
CERT-UA uzmanları, kurbanın makinesi Avast, FireEye veya Fortinet ürünleriyle korunuyorsa, kötü amaçlı programın tespit edilmekten kaçınmak için yürütmeyi durdurduğunu söyledi.
CERT-UA, programı, Rus güvenlik çıkarlarıyla uyumlu anlatılar uydurduğu bilinen bir tehdit grubu olan UAC-0057 veya Ghostwriter’a atfediyor. Güvenlik firması FireEye’a göre grup, Avrupa’daki NATO üyesi ülkeleri hedef almak için ele geçirilmiş sosyal medya hesaplarından yararlanıyor (bkz: ‘Hayalet Yazar’ Dezenformasyon Kampanyası NATO Müttefiklerini Hedefliyor).
APT28 Kimlik Doğrulama Verilerini Hedefliyor
Kimlik avını bir yem olarak kullanmak ve kurbanların kimlik doğrulama verilerini çekmek için bilinen web sitelerini kopyalamak, öncelikle siber casusluğa odaklanan Rus devlet destekli aktörlerin iyi bilinen bir taktiğidir. CERT-UA, Cumartesi günü benzer bir saikle bir başka kimlik avı kampanyasını daha ortaya çıkardı.
Tehdit aktörleri, popüler posta hizmeti sağlayıcılarının kullanıcılarını hedeflemek için tarayıcıda tarayıcı tekniğini kullandı ukr.net, söz konusu Atlassian’da bir istihbarat analisti olan Parthi, Curated Intelligence’ın kurucu ortağı Will Thomas ile birlikte, atfedildi keşif ile.