Ukraynalı siber savunucular, iki yıllık bir aradan sonra Vermin hackerlarının yeniden dirilişini ortaya çıkardı. Bilgisayar korsanı grubu, sistemlerine uzaktan erişim truva atı (RAT) görevi gören SPECTR kötü amaçlı yazılımını bulaştıran hedef odaklı kimlik avı e-postalarıyla ülkenin savunma güçlerini hedefliyor.
Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), Ukrayna Silahlı Kuvvetleri Siber Güvenlik Merkezi ile işbirliği içinde, Ukrayna Savunma Kuvvetlerini hedef alan bir hedef odaklı kimlik avı kampanyasını tespit etti ve araştırdı. Kampanya, CERT-UA’nın UAC-0020 olarak takip ettiği Vermin hacker grubu tarafından düzenlendi.
Vermin grubunun uzun bir aradan sonra geri dönüşünü simgeleyen bu siber kampanyaya, daha kolay tanımlama ve referans sağlanması amacıyla “SickSync” adı verildi.
Ukrayna, Vermin hackerlarını işgal altındaki Luhansk bölgesindeki kolluk kuvvetlerine bağlıyor. CERT-UA daha önce Vermin grubunun sunucu ekipmanlarının uzun yıllardır Luhansk bulut barındırma sağlayıcısı vServerCo’nun (AS58271) teknik sitesinde barındırıldığını iddia etmişti.
Palo Alto’nun Birim 42’si, 2018’de Vermin hackerlarının Ukrayna Savunma Bakanlığı ile ilgili kimlik avı tuzaklarıyla Ukraynalıları hedef alan benzer bir kampanyasını izlemişti.
Vermin Hacker’ların Son Kampanya Detayları
SPECTR kötü amaçlı yazılımının kullanımını içeren son saldırı, Vermin’in Mart 2022’den bu yana ilk önemli etkinliğine işaret ediyor. En az 2018’den beri bilinen bir kötü amaçlı yazılım olan SPECTR, Ukrayna savunma güçlerine yönelik mevcut kampanyada yoğun bir şekilde kullanıldı.
Saldırganlar, ele geçirilen bilgisayarlardan çalıntı belgeleri, dosyaları, şifreleri ve diğer hassas bilgileri indirmek için meşru Syncthing yazılımının senkronizasyon işlevinden yararlandı. Senkronizasyon, eşler arası bağlantıları destekler; bu, dosyaları yerel ağdaki cihazlar arasında veya İnternet üzerinden uzak cihazlar arasında senkronize edebileceği anlamına gelir. Windows, macOS, Linux, Android, Solaris, Darwin ve BSD işletim sistemlerini destekleyen ücretsiz ve açık kaynaklı bir senkronizasyon uygulamasıdır.
CERT-UA, Vermin bilgisayar korsanlarının bu meşru yazılımı veri sızdırma amacıyla kullandığını söyledi. Ukraynalı siber savunucular geçen ay, Rus bilgisayar korsanlarının Ukrayna ve müttefikleri hakkında casusluk yapmak için meşru uzaktan izleme yazılımı kullanarak benzer bir taktiği kullandıklarını bildirdi.
Haşere Saldırısı Vektörleri
Saldırı, “” adlı şifre korumalı bir arşiv dosyası içeren hedef odaklı kimlik avı e-postası yoluyla başlatıldı.turrel.fop.vovchok.rar.“Bu arşiv bir RarSFX arşivi içeriyordu”turrel.fop.ovchok.sfx.rar.scr” aşağıdaki içeriklerle:
- pdf: bir tuzak dosyası.
- exe: InnoSetup (Windows programları için ücretsiz bir yükleyici) kullanılarak oluşturulan ve hem meşru Syncthing bileşenlerini hem de SPECTR kötü amaçlı yazılım dosyalarını içeren bir EXE yükleyicisi. “senkronizasyon.exe” dosyası, dizin adlarını, zamanlanmış görevleri değiştirmek ve kullanıcı bildirimlerini devre dışı bırakmak için değiştirildi ve SPECTR kötü amaçlı yazılımı SyncThing ortamına yerleştirildi.
- yarasa: İlk çalıştırma için bir BAT dosyası.
RarSFX, Bitdefender tarafından oluşturulan geçici bir kurulum dosyaları klasörüdür. Kendiliğinden Açılan Arşiv açma sitesi olarak kullanılır.
SPECTR Kötü Amaçlı Yazılım Bileşenleri
SPECTR kötü amaçlı yazılımı, RAT’ın yetenekleriyle yüklenir ve aşağıdaki modüllerden oluşur:
- SpecMon: “IPlugin” sınıfını içeren DLL dosyalarını yürütmek için “PluginLoader.dll”yi çağırır.
- Ekran Yakalayıcısı: Belirli program pencereleri (örneğin, Word, Excel, Signal, WhatsApp) algılanırsa her 10 saniyede bir ekran görüntüsü alır.
- Dosya Yakalayıcı: Kullanım Alanları “robocopy.exe” belirli uzantılara sahip dosyaları (örn. .pdf, .docx, .jpg) kullanıcı dizinlerinden kopyalamak için %APPDATA%\sync\Slave_Sync\.
- USB bağlantı: “Robocopy.exe”yi kullanarak USB ortamından belirli uzantılara sahip dosyaları kopyalar.
- Sosyal: Telegram, Signal ve Skype gibi mesajlaşma programlarından kimlik doğrulama verilerini çalar.
- Tarayıcılar: Firefox, Edge, Chrome ve diğer Chromium tabanlı tarayıcılardan kimlik doğrulama ve oturum verileri dahil olmak üzere tarayıcı verilerini çalar.
Çalınan tüm bu bilgiler “%APPDATA%\sync\Slave_Sync\” konumu ve Syncthing’in senkronizasyon işlevi kullanılarak saldırganın bilgisayarına aktarılır.
Ağ IoC’leri ve Önleyici Tedbirler
Syncthing’in olası kötüye kullanımını belirlemek için CERT-UA, Syncthing altyapısıyla etkileşimlerin izlenmesini önerdi, özellikle “*.syncthing.net” alanları.
Kullanıcılardan ayrıca Vermin bilgisayar korsanlarına karşı gelişmiş koruma sağlamak için aşağıdaki önleyici tedbirleri uygulamaları istenir:
E-posta Güvenliği: Kötü amaçlı eklerin son kullanıcılara ulaşmasını önlemek için güçlü e-posta filtreleme ve kimlik avı koruması uygulayın.
Uç Nokta Koruması: Kötü amaçlı yazılımların yürütülmesini tespit etmek ve engellemek için gelişmiş uç nokta algılama ve yanıt (EDR) çözümlerinden yararlanın.
Ağ izleme: Özellikle Senkronizasyon altyapısı dahil olmak üzere olağandışı eşler arası bağlantılar için ağ trafiğini izleyin.
Kullanıcı Farkındalığı: Çalışanların kimlik avı girişimlerini tanıması ve raporlaması için düzenli siber güvenlik eğitimleri düzenleyin.