Yeni Arka Kapı Saldırısı, Rusya-Ukrayna Çatışma Kimlik Avı E-postalarını Kullanıyor


Bu kimlik avı kampanyasının birincil hedefleri, 2014 yılında Rusya tarafından ilhak edilen Ukrayna’nın Kırım, Donetsk ve Lugansk bölgeleridir.

Kaspersky’nin Küresel Araştırma ve Analiz Ekibi tarafından hazırlanan bir rapora göre, tehdit aktörleri, PowerShell tabanlı bir PowerMagic arka kapısı ve CommonMagic çerçevesi kurarak yeni bir hedef odaklı kimlik avı kampanyası başlattı.

Saldırganlar, arka kapıların yüklenmesine yol açan kötü amaçlı belgeler içeren kimlik avı e-postaları gönderir. Bu kampanyanın ana hedefleri, 2014 yılında Rusya tarafından ilhak edilen Ukrayna’nın Kırım, Donetsk ve Lugansk bölgeleridir.

E-postalar, saldırganların bölgesel jeopolitik durumla özel bir çıkarı olabileceğini belirten Rusya-Ukrayna çatışması etrafında tasarlandı.

Yeni Siber Saldırıda Kullanılan Rusya-Ukrayna Anlaşmazlığı Temalı Kimlik Avı E-postaları
Kimlik avı e-postası örneği (İmaj kredisi: Kaspersky)

Kaspersky araştırmacısı Leonid Besverzhenko, kampanyanın öncelikle hassas verileri çalmak için idari, tarım ve ulaşım kuruluşlarını hedefleyen bir casusluk operasyonu olduğunu belirtti.

Kimlik avı e-postaları, kurbanı PDF kılığına girmiş kötü amaçlı bir LNK dosyası içeren bir ZIP arşivine yönlendiren bir URL içerir. Kurban dosyayı başlattığında, ağına sızılır ve PowerMagic, OneDrive ve Dropbox klasörlerini kullanarak C2 sunucusuyla bir bağlantı kurarak daha önce keşfedilmemiş bir “kötü amaçlı çerçeve” olan CommonMagic aracılığıyla bulaşmayı tetikler.

CommonMagic çerçevesi, şifreleme/şifre çözme, ekran görüntüsü yakalama ve belge çalma gibi farklı görevler için ayrı modüller içerir. USB aygıtlarından DOC, DOCX, XLS, XLSX, RTF, ODT, ODS, ZIP, RAR, TXT ve PDF dahil olmak üzere çok çeşitli dosyaları çalmak için eklentileri de kullanabilir.

Ek olarak, Windows Grafik Aygıt Arabirimi (GDI) API’sini kötüye kullanarak her üç saniyede bir ekran görüntüsü alabilir. Her iki kötü amaçlı yazılım da Eylül 2021’den beri aktif olarak kullanılıyor ve Kaspersky kampanyayı Ekim ayında keşfetti.

Ancak araştırmacılar, bu kampanyayı daha önce bilinen bir aktörle ilişkilendirmeyi henüz başaramadı. Bu kampanyanın arkasında gelişmiş bir tehdit aktörünün olduğuna inanıyorlar.

  1. Ukrayna, Rus Industroyer 2 kötü amaçlı yazılım saldırısını engelledi
  2. 34 Rus bilgisayar korsanlığı çetesi 50 milyon kullanıcının şifresini çaldı
  3. DDoS uygulamasının Rusya’dan etkilenen Ukrayna telefonlarını vurması amaçlanıyor
  4. Fidye yazılımı kılığına giren CryWiper Rus mahkemelerini vuracak
  5. Milyonlarca Rus ve Ukraynalının Verileri İnternette Açığa Çıktı



Source link