Ukraynalı CERT, Yeni SmokeLoader Kampanyası Hakkında Uyardı

Ukrayna Bilgisayar Acil Durum Müdahale Ekibi Pazartesi günü yaptığı bir uyarıda, UAC-0006 olarak izlenen bilgisayar korsanlarının, SmokeLoader için JavaScript yükleyicileri içeren sıkıştırılmış dosyaları göndermek için güvenliği ihlal edilmiş e-posta adreslerini kullandığını söyledi.

SmokeLoader, 2011’den beri bilinen ve ek kötü amaçlı yazılım yüklemek için kullanılabilen, ancak bilgi hırsızlığı için eklentilere sahip geniş bir Truva atı ailesinin adıdır. Mitre, kötü amaçlı yazılımın “aldatma ve kendini koruma kullanımıyla ünlü” olduğunu belirtiyor.

Siber savunucular ayrıca, kampanyanın PowerShell betiklerini yürütmek, dosya indirmek ve kullanıcıları gözetlemek için kullanılan penetrasyon testi yazılımı olan Cobalt Strike Beacon’u yüklemeye çalışabileceğini söylüyor.

CERT-UA tarafından analiz edilen bir SmokeLoader örneği, etki alanlarının büyük çoğunluğu kayıtlı olmamasına rağmen, komuta ve kontrol sunucuları için 26 URL’lik bir liste içeriyordu. Bilgisayar korsanları, Rus alan adı kayıt şirketlerini ve sağlayıcılarını kullanıyor. Devlet kurumu, UAC-0006’nın finansal olarak motive edildiğini ve genellikle muhasebeciler tarafından kullanılan bilgisayarları hedef aldığını söylüyor. Yetkisiz ödemeler oluşturmak için bankacılık sistemlerine ve kimlik bilgilerine erişim arar.

CERT-UA bu ayın başlarında UAC-0006’nın konusu “fatura/ödeme” olan güvenliği ihlal edilmiş e-posta hesaplarını ve SmokeLoader başlatıcı içeren ekli bir .zip dosyasını kullandığını fark etti.

SmokeLoader Javascript yükleyicileri, Microsoft’un otomatik komut dosyası oluşturma aracı Windows Script Host kullanılarak etkinleştirildiğinden, CERT-UA araca son kullanıcı erişiminin sınırlandırılmasını önerir.