Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar
Saldırganlar Hem Ukrayna’yı Hem de Rusya Yanlısı Aktörleri Hedef Aldı
Daha Fazla (AnvikshaDevamı) •
12 Mayıs 2023
Bir dizi siber casusluk başarısına sahip yeni ortaya çıkarılan bir bilgisayar korsanlığı grubu, hem Ukraynalı hem de Rusya yanlısı hedefleri hedef alıyor ve orta yol sunmayan veya çok az çözüm sunan bir çatışmada motivasyonları belirsiz.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Malwarebytes, Çarşamba günkü bir blog gönderisinde tehdit aktörünü “Red Stinger” olarak adlandırıyor ve grubun Kaspersky tarafından Mart ayında açıklanan “Bad Magic” tehdit aktörüyle aynı olduğunu söylüyor.
Malwarebytes, Red Stinger faaliyetlerinin izini 2020’ye kadar sürdüğünü söylerken Kaspersky, grubu Ekim 2022’de tespit ettiğini söylüyor – bu tarihler, gizli tekniklere ve operasyonel güvenliğe yatırım yapıldığını gösteriyor.
Malwarebytes, 2020 ile günümüz arasında beş operasyon belirledi; kurbanlar orta Ukrayna’da bulunuyor ve Moskova’nın Ukrayna’nın Luhansk, Donetsk, Zaporizhzhia ve Herson topraklarında Eylül 2022’de yaptığı itibarsız referandumlara katılan Rusya bağlantılı kişiler. Kaspersky, Donetsk, Lugansk ve Kırım bölgelerinde bulunan hükümet, tarım ve ulaşım kuruluşlarında aktif bir enfeksiyon tespit etti.
Kampanyaya bağlı olarak, Doğu Ukrayna’da Malwarebytes tarafından tespit edilen saldırganlar anlık görüntüleri, USB sürücülerini, klavye vuruşlarını ve mikrofon kayıtlarını çalmayı başardı.
Orta Ukrayna’da bulunan iki kurbandan biri askeri bir hedefti, ancak enfeksiyon tespit edilmeden önce sadece birkaç saat sürmüş gibi görünüyor.
Malwarebytes araştırmacıları, “Bildiğimiz kadarıyla, saldırganlar bu hedefe birkaç ekran görüntüsü, mikrofon kaydı ve bazı ofis belgeleri sızdırmayı başardı.”
Diğer kurban, kritik altyapıda çalışan bir memurdu. Bu durumda, enfeksiyon Ocak ayına kadar yaklaşık bir yıl sürdü. Saldırganlar ekran görüntülerini, mikrofonu ve ofis belgelerini sızdırdı.
Grup, kötü amaçlı URL oluşturucuları ve IP adresleri dahil olmak üzere kendi bilgisayar korsanlığı araçlarını ve tanınabilir altyapısını kullanır. Kaspersky araştırmacıları, “Bu kampanyada kullanılan kötü amaçlı yazılım ve teknikler özellikle karmaşık değil, ancak etkili ve kodun bilinen herhangi bir kampanyayla doğrudan ilişkisi yok” diye yazdı.
Malwarebytes, bulut depolama hizmetlerini bir komut ve kontrol mekanizması olarak kullandığını yazarak “DBoxShell” grubu tarafından dağıtılan kötü amaçlı yazılımı çağırır. Dağıtıldıktan sonra, saldırganların daha derin araştırma yapıp yapmayacağını değerlendirmesine ve eğer öyleyse ek araçlar indirmesine olanak tanır. Kaspersky, kötü amaçlı yazılımı “Sihirli Kutu” olarak adlandırır.
Grubun uyruğu hakkında bir ipucu, Malwarebyte’ın, saldırganlar tarafından ister test yapmak için ister hata olarak kendi bilgisayarlarına bulaştığı anlaşılan iki enfeksiyona ilişkin gözleminden gelebilir. Virüslü iki makinenin klavye dili İngilizce olarak ayarlandı. Yine de, güvenlik firması analistleri, proje klasörünü adlandırma biçimleri nedeniyle (internet_WORK) faillerin anadili İngilizce olan kişiler olduğuna ikna olmadıklarını söylüyorlar. Emin olamayız, ancak anadili İngilizce olan hiçbir kişinin bu adlandırma kuralını kullanmayacağına inanıyoruz. “