Cyble Araştırma ve İstihbarat Laboratuvarları (CRIL) araştırmacıları, Belarus hükümeti bağlantılı tehdit aktörü “UNC1151”in, gizli casusluk operasyonlarını kolaylaştırmak amacıyla Ukrayna Savunma Bakanlığını hedef alan yeni, karmaşık bir kimlik avı kampanyası gözlemledi.
UNC1151 daha önce Rusya’nın jeopolitik çıkarları ve NATO karşıtı anlatılarla uyumlu, büyük ölçekli, uzun süredir devam eden nüfuz kampanyalarıyla ilişkilendirilmişti.
UNC1151 Kimlik Avı Yemleriyle Ukrayna Savunma Bakanlığını Hedef Alıyor
Mandiant’tan araştırmacılar daha önce grubun en az 2017’den beri aktif olan operasyonlarını “Hayalet Yazar Operasyonu/UNC1151” olarak takip etmişlerdi. Araştırmacılar, kampanyanın Ukrayna, Litvanya, Letonya ve Polonya’daki hedef kitlelere Rusya yanlısı anlatıları ve dezenformasyonu yaymayı amaçladığı sonucuna vardı.
Yakın zamanda CRIL araştırmacıları, Belaruslu grubun Ukrayna ve Polonya hükümetini hedef alan, öncelikle Ukrayna Savunma Bakanlığı ve Ukrayna ordusuna odaklanan, sosyal mühendislikle tasarlanmış kötü amaçlı Excel çalışma sayfası (XLS) dosyaları içeren, en az Nisan 2024’ten beri yeni bir kampanya keşfetti. .
Resmi belge olduğu iddia edilen bu dosyalar, spam e-postalar kullanılarak mağdurlara dağıtılıyor. Elektronik tablo açıldığında, “İçeriği Etkinleştir” düğmesi, kurbanları yanlışlıkla yerleşik bir VBA (Uygulamalar için Visual Basic) makrosunun yürütülmesini başlatmaya yönlendirmeye çalışır.
Bu kötü amaçlı makro dosyası, kurbanın sistemine bir kısayol dosyası (LNK) ve kötü amaçlı bir DLL (dinamik bağlantı kitaplığı) dosyası bırakır. LNK kısayol dosyasının yürütülmesi daha sonra işletim sisteminin yerleşik Rundll32.exe dosyasının (genellikle kötü amaçlı DLL’leri yüklemek için kötüye kullanılır) kullanımı yoluyla DLL dosyasını başlatır ve DLL, gizli ve gizli dosya kullanımı yoluyla sisteme bulaşmasına yol açar. görünüşte zararsız olan şifrelenmiş “.svg” resim dosyaları.
Araştırmacılar, bu .svg resim dosyalarının şifresini çözdüklerinde gizli bir DLL dosyası gözlemlediler ve grubun geçen yılki Talos İstihbarat kampanyasına ilişkin araştırmacıların teslim etmek için “.jpg” resim dosyalarının kullanıldığını gözlemlediği bir Talos Intelligence çalışmasına atıfta bulunarak bunun muhtemelen nihai veriye yol açtığı sonucuna vardılar. yükler. Ancak CRIL araştırmacıları bu .svg dosyalarından son şifrelenmiş veri yüklerini alamadılar, bu da gizleme uygulamalarının iyileştirilmiş olduğunu gösteriyor.
Nihai veri yükünün, önceki kampanyada gözlemlenen şifrelenmiş .jpg resim dosyalarında bulunan njRAT, AgentTesla ve Cobalt Strike gibi zararlı kötü amaçlı yazılımların aynısını potansiyel olarak içerdiğinden şüpheleniyorlar. Araştırmacılar, yükün, virüs bulaşmış sistemlerden bilgi sızdırmanın yanı sıra, bunlar üzerinde yetkisiz uzaktan kontrol sağlamayı da amaçladığına inanıyor.
Önceki UNC1151 Kampanyası ve Gelişmeler
Son dönemdeki kimlik avı kampanyasındaki yem belgelerinin incelenmesi, araştırmacıların bu saldırının öncelikli olarak Ukrayna Savunma Bakanlığı’nı hedef aldığından şüphelenmesine yol açtı. Araştırmacılar, son kampanyanın, geçen yıl Ukrayna ve Polonya hükümetinin yanı sıra askeri ve sivilleri hedef alan daha önceki bir kampanyayla benzerlik ve farklılıklarının altını çizdi.
2023 kampanyası da benzer şekilde, kullanıcıları gizli makro kodu çalıştırmaları için kandırmak amacıyla Excel ve PowerPoint dosyalarının kullanılması yoluyla yürütüldü; bu da, virüslü sisteme kötü amaçlı .LNK kısayol dosyalarının ve DLL dosyalarının yüklenmesine yol açtı.
Ancak yeni kampanyada drone görüntüleri gibi farklı kimlik avı tuzakları kullanıldı ve belgenin Ukrayna Savunma Bakanlığı’na ait olduğu iddia ediliyor. Önceki kampanyadaki şifrelenmiş .jpg resim dosyaları doğrudan bir .EXE dosyasını gizlerken, yeni kampanyanın .svg resim dosyaları bunun yerine ek bir kötü amaçlı DLL dosyasını gizledi. Bu DLL dosyası sistemin geçici dizinine yüklenir (%Sıcaklık%) ve meşru kullanımı kullanarak çalıştırın Rundll32.exe Windows işletim sisteminde mevcut.
Araştırmacılar, bu farklılıkları, stratejik kazanç uğruna Ukrayna hedeflerinden taviz verme yönündeki sürekli çabayla, grubun gelişen taktiklerinin bir örneği olarak gösteriyor. Araştırmacılar, e-posta filtreleme sistemlerinin kullanılmasını, e-posta gönderenlerin kimliğinin doğrulanmasını, komut dosyası dillerinin çalıştırılmasının sınırlandırılmasını, ağ düzeyinde izleme kurulmasını ve önemli verilerin düzenli olarak yedeklenmesini önermektedir.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.