Ukrayna ve Rusya arasındaki gerilim en yüksek seviyedeyken, Microsoft, Ukraynalı yetkilileri sakatlamayı amaçlayan Rus yetkililerle bağlantılı bir hackleme kampanyasını detaylandırdı. Amerikan devine göre, hacker grubu Actinium’u geçen Ekim ayından bu yana Ukrayna kurumlarının ve yönetimlerinin “hedefleri veya hesaplarını tehlikeye atıyor” olarak adlandırdı. “Ekim 2021’den bu yana Actinium, acil müdahale için gerekli olan ve Ukrayna topraklarının güvenliğini garanti eden kuruluşların yanı sıra yardım dağıtımının koordinasyonunda yer alacak kuruluşların hesaplarını hedef aldı veya tehlikeye attı. bir kriz olayı,” dedi Microsoft.
Ukrayna’nın karşı istihbarat çabalarına öncülük eden Ukrayna Güvenlik Servisi (SSU), bu grubu Armageddon olarak adlandırıyor. SSU, grubun ilk faaliyetlerini en az 2014 yılına kadar takip etti ve öncelikle kimlik avı ve kötü amaçlı yazılım yoluyla Kırım’da istihbarat toplamaya odaklandığını söyledi. Armageddon, Ukrayna güvenlik kurumlarından istihbarat toplamayı amaçlayan siber saldırılarıyla tanınıyor. Microsoft, Rusya’nın komşu Ukrayna’yı işgal etmeye yönelik bariz hazırlıkları konusundaki endişeler arttıkça, son Actinium etkinliğiyle ilgili raporuna öncelik verdi.
Microsoft’a göre, onlar kadar sofistike veya gizli olmasalar da, Actinium’un taktikleri sürekli gelişiyor ve kötü amaçlı yazılımdan kaçınmaya öncelik veriyor. Yalnızca seçili hedeflere bulaşmak için uzak belge şablonları ve uzak makro komut dosyaları kullanan ve kötü amaçlı yazılımdan koruma sistemleri tarafından tespit edilme şansını en aza indiren bir dizi hedefli “spear-phishing” e-postası kullanır. Microsoft, “Uzaktan desen yerleştirme, kötü amaçlı içeriğin yalnızca gerektiğinde, örneğin kullanıcı belgeyi açtığında yüklenmesini sağlar,” diye açıklıyor.
Çeşitli ve çeşitli bir cephanelik
“Bu, saldırganların, örneğin ekleri kötü amaçlı içerik için tarayan sistemler tarafından statik algılamadan kaçmasına yardımcı olur. Kötü amaçlı makronun uzaktan barındırılması, bir saldırganın kötü amaçlı bileşenin ne zaman ve nasıl yayılacağını kontrol etmesine olanak tanır ve otomatik sistemlerin bilgi almasını engelleyerek algılamadan daha da kurtulur. ve kötü amaçlı bileşeni analiz ediyor.” Grup ayrıca, bir mesajın açılıp teslim edildiğini gönderene bildiren “web hataları” kullanır. Sahte belgeler arasında Microsoft, Dünya Sağlık Örgütü’nün kimliğine bürünen gönderenlerin içeriğine atıfta bulunuyor ve Covid-19 salgınıyla ilgili güncellemeleri içeriyor.
Kimlik avı ekleri, güvenliği ihlal edilmiş bir cihazda ikincil yükleri yürüten bir yük içerir. Kalıcılığı korumak için komut dosyalarında garip bir şekilde adlandırılmış zamanlanmış görevlerle yedeklenen, yoğun şekilde karıştırılmış VBS komut dosyaları, gizlenmiş PowerShell komutları, kendi kendine açılan arşivler ve LNK dosyaları gibi bir dizi “hazırlama” komut dosyası kullanır. Bir ay içinde Microsoft, Actinium’un yük teslimi ile komuta ve kontrol (C2) altyapısını desteklemek için 25’ten fazla benzersiz etki alanı ve 80’den fazla benzersiz IP adresi kullandığını ve bu da altyapısını araştırmaları engellemek için sık sık değiştirdiğini gösteriyor.
Microsoft, Pterodo kötü amaçlı yazılımının Actinium’un hedef ağlara etkileşimli erişim elde etmek için tercih edilen araçları arasında olduğunu onaylar. Actinium’un diğer önemli kötü amaçlı yazılımı, güvenliği ihlal edilmiş ana bilgisayardan veri sızdırmak ve operatörden uzaktan bir yük alıp yürütmek için kullanılan QuietSieve’dir. Microsoft, Actinium’un daha sonraki bir aşamada daha gelişmiş kötü amaçlı yazılımları dağıtmak için kullanılan karmaşık komut dosyaları aracılığıyla bir dizi hafif yetenek yüklerini hızla geliştirdiğini belirtiyor. Microsoft’un “yüksek derecede değişkenliğe sahip hızlı hareket eden hedefler” olarak tanımladığı bu komut dosyalarının çevik gelişimi, virüsten koruma algılamasından kaçınmaya yardımcı olur. Bu tür indiricilere örnek olarak DinoTrain, DilongTrash, Obfuberry, PowerPunch, DessertDown ve Obfumerry verilebilir.
Kaynak: ZDNet.com