Yeni USB Tabanlı Kötü Amaçlı Yazılım Kullanan Rusya Destekli Bilgisayar Korsanları

   Haziran 16, 2023  Posted in CyberSecurityNews


Rusya Destekli Bilgisayar Korsanları Ukrayna'nın Askeri İstihbaratını Ele Geçirmek İçin Yeni USB Tabanlı Kötü Amaçlı Yazılım Kullanıyor

Rus devlet destekli bilgisayar korsanlığı grubu Shuckworm (diğer adıyla Armageddon veya Gamaredon), başlıca Ukrayna’nın aşağıdaki kuruluşlarına odaklanarak çok sayıda siber saldırı gerçekleştirmeye devam ettiği için Ukrayna sürekli tehdit altında olmaya devam ediyor:-

  • Güvenlik Servisi
  • Askeri
  • Devlet

Symantec’teki siber güvenlik araştırmacılarının bildirdiğine göre, bilgi çalma araçları FSB’ye bağlı Rus bilgisayar korsanları tarafından Ukrayna hükümet gruplarını hedef alarak kullanıldı.

CSN

Bir Word şablonu numarası ve “Pteranodon” kötü amaçlı yazılımlarının güncellenmiş sürümlerini kullanarak yeni sistemlere bulaştılar.

Shuckworm TTP’leri USB Kötü Amaçlı Yazılımını Kullanma

Son zamanlarda, güvenliği ihlal edilmiş ağlarda daha fazla sistemi yaymak ve bulaştırmak için, tehdit aktörlerinin USB kötü amaçlı yazılım kullanımını benimsediği tespit edildi.

Shuckworm, son kampanyalarında, tehdit aktörleri zaten güvenliği ihlal edilmiş kuruluşlara hedefli kimlik avı saldırıları başlatmayı planladığından, gözünü İK departmanlarına dikiyor.

Kimlik avı e-postalarını birincil taktik olarak kullanan Shuckworm, kurban makinelere erişim sağlar ve ilk bulaşma için kötü amaçlı yazılımları yayar.

Saldırganlar, çeşitli dosya biçimlerinde kötü amaçlı ekler içeren e-postalar aracılığıyla Ukraynalı kurbanları hedefliyor ve aşağıda bunlardan bahsetmiştik: –

  • .docx
  • .rar (RAR arşiv dosyaları)
  • .sfx (kendiliğinden açılan arşivler)
  • .bağlantı
  • .hta (HTML kaçakçılığı dosyaları)

Son faaliyetler sırasında uzmanlar, grubun Telegram gibi yasal hizmetleri komuta ve kontrol (C&C) altyapılarına dahil ettiğini fark ettiler.

Son zamanlarda komuta ve kontrol (C&C) adreslerini saklamak için Telegram’ın mikro blog platformu olan “Telegraph”ı da kullandıkları tespit edildi.

Shuckworm TTP’leri Saldırı Zinciri

Symantec’in analistleri tarafından belirlendiği üzere, Shuckworm’un faaliyeti Şubat’tan Mart 2023’e kadar kayda değer bir artış yaşadı.

Bilgisayar korsanları, Mayıs 2023’e kadar güvenliği ihlal edilmiş belirli makinelerde bulunmaya devam etti. Symantec, Ocak ve Nisan 2023 arasında 25 farklı PowerShell betiği kategorisini test etti.

PowerShell betiği, “.rtk.lnk” uzantısını kullanarak güvenliği ihlal edilmiş makinede kendisini çoğaltır ve bir kısayol dosyası oluşturur.

Kurban bu dosyaları açtıktan sonra, PowerShell betiği bilgisayarın sürücülerini tarar ve kendisini çıkarılabilir USB sürücülere kopyalar. Sonuç olarak, komut dosyası, güvenliği ihlal edilmiş ağ içinde gelişmiş hareketlilik kazanır.

Symantec’in analistleri, Gamaredon’un bu yıl sızdığı makinelerden birinde “foto.safe” adlı bir dosya ortaya çıkardı. Dosyanın, base64’te kodlanmış bir PowerShell betiği olduğu belirlendi.

Ayrıca Shuckworm’un Ukrayna’ya yönelik siber saldırılarına devam etmesi bekleniyor. Sadece bu da değil, grup muhtemelen araçlarını ve tekniklerini Rus ordusunun operasyonlarını başarılı bir şekilde yürütmesine yardımcı olabilecek verileri çalmak için güncelleyecek.

Hepsi Bir Arada Çoklu İşletim Sistemi Yama Yönetimi Platformu Arıyor – Patch Manager Plus’ı Deneyin



Source link