Cisco Talos’un yeni bulgularına göre, Ukrayna içindeki kritik bir altyapı varlığı, Pathwiper adlı daha önce görülmemiş bir veri silecek kötü amaçlı yazılımı tarafından hedef alındı.
Araştırmacılar Jacob Finn, Dmytro Korzhevin ve Asheer Malhotra Perşembe günü yayınlanan bir analizde yaptığı açıklamada, “Saldırı, saldırganların idari konsoluna muhtemelen idari konsola erişimi olduğunu gösteren ve bu da Pathwiper’ı bağlantılı uç noktalarda dağıtmak için kullanılan ve”
Saldırı, gözlemlenen tradecraft ve Ukrayna’ya yönelik saldırılarda kullanılan yıkıcı kötü amaçlı yazılımlara sahip üst üste binen yeteneklere dayanan bir Rusya-Nexus İleri Durum Kalıcı Tehdit (APT) aktörünün çalışması olarak değerlendiriliyor.
Talos, idari aracın konsolu tarafından verilen komutların, müşterisi tarafından kurban uç noktalarında çalışan ve daha sonra toplu (BAT) dosyası olarak yürütüldüğünü söyledi.
BAT dosyası, sırayla, “UACInstall.vbs” adlı Windows temp klasöründe, yönetici konsolu aracılığıyla makinelere de itilen kötü amaçlı bir Visual Basic betiği (VBScript) dosyasını çalıştırma komutundan oluşuyordu. VBScript, Silecek İkili’ni aynı klasörde “sha256sum.exe” adı altında bıraktı ve yürüttü.
Talos, “Saldırı boyunca, kullanılan dosya adları ve eylemler, idari kamu hizmetinin konsolu tarafından konuşlandırılanları taklit etmeyi amaçlıyordu, bu da saldırganların konsol hakkında önceden bilgi sahibi olduklarını ve muhtemelen kurban girişiminin ortamındaki işlevselliğini gösteriyor.” Dedi.
Patrwiper başlatıldıktan sonra, fiziksel sürücü adları, ses seviyeleri ve yollar ve ağ sürücü yolları dahil olmak üzere bağlı depolama ortamlarının bir listesini toplamak için tasarlanmıştır. Silecek daha sonra kaydedilen her yol için sürücü başına bir iş parçacığı ve ses seviyesi oluşturmaya devam eder ve eserlerin içeriğinin rastgele oluşturulan baytlarla üzerine yazılır.
Özellikle, hedefler: Ana Önyükleme Kayıt (MBR), $ MFT, $ MFTMIRR, $ LogFile, $ Boot, $ Bitmap, $ txflog, $ tops ve $ attrDef. Buna ek olarak, Pathwiper, randomize bayt ve hacimleri sökmeye çalışarak bunları üzerine yazarak diskteki dosyaları geri döndürmez bir şekilde yok eder.
Pathwiper’ın, Rusya’nın Şubat 2024’te tam ölçekli askeri istilası ile çakışan tespit edilen Hermeticwiper (AKA Foxblade, Killdisk veya Nearmiss) ile bir miktar benzerlik paylaştığı bulunmuştur. Hermeticwiper kötü amaçlı yazılımlar Rusya bağlantılı kum kurdu grubuna atfedilmiştir.
Her iki silecek de MBR ve NTFS ile ilgili artefaktları bozmaya çalışırken, Hermeticwiper ve Pathwiper’ın veri bozulma mekanizmasının tanımlanan sürücülere ve hacimlere karşı kullanıldığı şekilde farklı olduğunu belirtmektedir.
Araştırmacılar, “Silecek kötü amaçlı yazılım varyantlarının sürekli evrimi, Rusya-Ukrayna savaşının uzun ömürlülüğüne rağmen Ukrayna kritik altyapısı için devam eden tehdidi vurgulamaktadır.” Dedi.
Sessiz kurtadam Rusya ve Moldova’yı hedefliyor
Ukrayna’ya karşı yeni bir silecek kötü amaçlı yazılım cinsinin keşfi, Rus siber güvenlik şirketi Bi.zone, Moldovan ve Rus şirketlerini kötü amaçlı yazılımlarla enfekte etmek için Silent Wurtwolf tarafından üstlenilen iki yeni kampanyayı ortaya çıkardı.
Şirket, “Saldırganlar, C2 sunucularından kötü amaçlı yükü almak için iki ayrı yükleyici örneği kullandı.” Dedi. “Ne yazık ki, yükün kendisi bu araştırma sırasında mevcut değildi. Bununla birlikte, benzer sessiz kurt adam kampanyalarının geriye dönük bir analizi, tehdit oyuncunun Xdigo kötü amaçlı yazılım kullandığını gösteriyor.”
Saldırıların hedeflerinden bazıları Rusya’daki nükleer, uçak, enstrümantasyon ve makine mühendisliği sektörlerini içeriyor. Başlangıç noktası, bir LNK dosyası ve iç içe geçmiş bir fermuar arşivi içeren bir zip dosyası ekini içeren bir kimlik avı e -postasıdır. İkinci zip dosyası meşru bir ikili, kötü niyetli bir DLL ve bir tuzak PDF’den oluşur.
Windows kısayol dosyasını açma ve başlatma, iç içe geçmiş arşivin çıkarılmasını tetikler ve sonuçta Rogue DLL’nin meşru yürütülebilir (“deviceMetadatawizard.exe”) aracılığıyla yan yüklenmesine neden olur. DLL, bir sonraki aşamalı yükü uzak bir sunucudan almak ve lure belgesini kurbana görüntülemek için tasarlanmış bir C# yükleyicidir (“D3d9.dll”).
Bi.zone, “Rakipler hedef sistemlerde kontroller yapıyor gibi görünüyor.” Dedi. “Bir hedef ana bilgisayar belirli kriterleri karşılamıyorsa, GGUF biçiminde Lama 2 Büyük Dil Modeli (LLM) HXXPS: // Huggingface’den indirilir.[.]CO/Thebloke/LLAMA-2-70B-GGUF/ÇÖZÜM/ANA/LLAMA-2-70B.Q5_K_M.GUF. “
Diyerek şöyle devam etti: “Bu, tüm saldırının kapsamlı analizini engelliyor ve tehdit oyuncusunun kum havuzları gibi savunmaları atlamasına izin veriyor.”
Siber güvenlik firması, aynı ayın Moldova’daki bilinmeyen sektörleri hedefleyen ikinci bir kampanya gözlemlediğini ve muhtemelen Rusya’nın aynı C# yükleyicisini kullandığını, ancak fidye yazılımı saldırılarına karşı kurumsal bilgi altyapısını koruma önerileri ile ilgili kimlik avı yolları yoluyla gözlemlediğini söyledi.
Bi.zone başına siber casusluk grubunun en azından 2011’den beri aktif olduğuna inanılıyor ve Rusya, Belarus, Ukrayna, Moldova ve Sırbistan’daki çok çeşitli şirketleri hedef alıyor. Saldırılar, XDSPY, XDIGO ve DSDownloader gibi kötü amaçlı yazılımlar sunmak için kimlik avı yemlerinin kullanımı ile karakterize edilir.
Ukrayna yanlısı hacktivist grubu Bo Team Rusya’yı hedefliyor
Son aylarda, teknoloji, telekomünikasyon ve üretim sektörlerini kapsayan Rus devlete ait şirketler ve kuruluşların da BO Takım (diğer adıyla Black Owl, Hoody Hintha ve Lifing ZMiy) yanlısı bir Hacktivist gruptan siber saldırılara girdiği söyleniyor.
“Bo ekibi, hem mağdurda maksimum hasara neden olmayı hem de finansal faydaları elde etmeyi amaçlayan ciddi bir tehdittir.” Dedi.
En azından Ocak 2024’ten bu yana aktif olarak, hacktivist kümesi tarafından monte edilen saldırıların, efsanevi ve kobalt grevi de dahil olmak üzere servis sonrası çerçevelerin yanı sıra meşru uzaktan erişim ve tünelleme araçlarından yararlandığı bilinmektedir. Grubun ayrıca gizli verilere erişme ve telgraf kanalı BO ekibindeki başarılı saldırılar hakkında bilgi yayınlama geçmişi var.
Hedef ağlara ilk erişim, açıldığında, Darkgate, Brockendoor ve Remcos Rat gibi bilinen emtia kötü amaçlı aileleri dağıtmak için tasarlanmış bir enfeksiyon zincirini etkinleştiren bu iğrenç tuzaklı ekler içeren kimlik avı e-postaları gönderilerek gerçekleştirilir. Ayrıca, LSAS’ı boşaltmak ve LSASS dökümleri oluşturmak için Hilekatz ve Nanodump gibi araçlar da kullanılır.
Uzaktan erişimle donanmış olan BO ekibi, dosya yedeklemelerini yok ettiği, Sdelete yardımcı programını kullanarak dosyaları silme ve ayrıca Babuk şifrelemesinin Windows sürümünü geri kazanma karşılığında bir fidye talep etmek için bıraktığı gözlemlendi.
Tehdit oyuncusu tarafından yürütülen diğer faaliyetlerden bazıları aşağıda listelenmiştir –
- Planlanan görevleri kullanarak kalıcılığı ayarlamak
- Tespitten kaçınmak için sisteme veya iyi bilinen yürütülebilir dosyalara benzer kötü amaçlı bileşen adlarının atanması
- NTDSUTIL kullanarak Active Directory Veritabanını Çıkarma
- Telegram, çalışma süreçleri, mevcut kullanıcılar, uzak RDP oturumları ve uç noktalara yüklenen antivirüs yazılımı hakkında bilgi toplamak için çeşitli komutları çalıştırmak
- Windows ve Linux altyapılarında yanal hareket yapmak için RDP ve SSH protokollerini kullanmak
- Komut ve kontrol için AnyDesk gibi meşru uzaktan erişim yazılımını bırakmak
Kaspersky, “BO ekip grubu, saldırı yürütme konusundaki alışılmadık yaklaşımı nedeniyle Rus organizasyonları için önemli bir tehdit oluşturuyor.” Dedi. “Çoğu Ukrayna yanlısı hacktivist grupların aksine, BO Team aktif olarak Brockendoor, Remcos ve Darkgate gibi backdoors da dahil olmak üzere geniş bir kötü amaçlı yazılım cephaneliği kullanıyor.”
“Bu özellikler, grubun yüksek özerklik seviyesini ve Ukraynalı Hacktivist kümesinin diğer temsilcileriyle istikrarlı bağlantıların olmadığını doğrulamaktadır. Bo ekibinin kamusal faaliyetinde, diğer gruplarla araçların bir kez daha etkileşim, koordinasyon veya alet değişimi belirtilmez.