Giderek artan sayıda tehdit aktörü, devam eden Rus-Ukrayna savaşını çeşitli kimlik avı ve kötü amaçlı yazılım kampanyalarında bir cazibe olarak kullanıyor, hatta kritik altyapı varlıkları yoğun bir şekilde hedef alınmaya devam ediyor.
Google Tehdit Analizi Grubu’ndan yapılan açıklamada, “Çin, İran, Kuzey Kore ve Rusya’dan hükümet destekli aktörlerin yanı sıra çeşitli ilişkilendirilmemiş gruplar, kötü niyetli e-postaları açmak veya kötü niyetli bağlantıları tıklamak için hedefler elde etmek amacıyla Ukrayna savaşıyla ilgili çeşitli temaları kullandı.” (ETİKET) Billy Leonard dedim bir raporda.
Leonard, “Finansal olarak motive olmuş ve suçlu aktörler de güncel olayları kullanıcıları hedef almak için bir araç olarak kullanıyor” dedi.
Dikkate değer bir tehdit aktörü, TAG’nin Çin Halk Kurtuluş Ordusu Stratejik Destek Gücü’ne (PLA SSF) atfettiği ve Ukrayna, Rusya ve Orta Asya’da hükümet, askeri, lojistik ve üretim kuruluşlarına saldırdığı gözlemlenen Curious Gorge’dur.
Rusya’yı hedefleyen saldırılar, Rus savunma müteahhitlerini ve üreticilerini ve ayrıca adı açıklanmayan bir lojistik şirketini etkileyen ek tavizlerle, Dışişleri Bakanlığı gibi birkaç devlet kurumunu seçti.
Bulgular, Mustang Panda (diğer adıyla Bronz Başkan) olarak bilinen Çin bağlantılı, hükümet destekli bir tehdit aktörünün, PlugX adlı uzaktan erişim trojanının güncellenmiş bir sürümüyle Rus hükümet yetkililerini hedef almış olabileceği açıklamalarını takip ediyor.
Başka bir kimlik avı saldırısı grubu, Chrome, Edge ve Firefox tarayıcılarından çerezleri ve şifreleri çalabilen bir .NET kötü amaçlı yazılımıyla Ukraynalı kullanıcıları hedef alan APT28 (diğer adıyla Fancy Bear) bilgisayar korsanlarını içeriyordu.
Ayrıca, Turla (diğer adıyla Zehirli Ayı) ve COLDRIVER (aka Calisto) dahil olmak üzere Rusya merkezli tehdit gruplarının yanı sıra, Baltık bölgesindeki savunma ve siber güvenlik kuruluşlarını ve yüksek riskli savunma ve siber güvenlik kuruluşlarını hedef alan farklı kimlik bilgileri kimlik avı kampanyalarında Ghostwriter adlı Belaruslu bir bilgisayar korsanlığı ekibi de suçlandı. Ukrayna’da bireyler.
Ghostwriter’ın son saldırıları, kurbanları, kimlik bilgilerini toplamak için kullanıcıların saldırgan kontrollü bir web sayfasına gönderildiği, güvenliği ihlal edilmiş web sitelerine yönlendirdi.
Doğu Avrupa ülkelerindeki varlıkları hedef alan alakasız bir kimlik avı kampanyasında, daha önce bilinmeyen ve finansal olarak motive olmuş bir bilgisayar korsanlığı grubunun, DarkWatchman adlı bir JavaScript arka kapısını virüslü bilgisayarlara dağıtmak için bir Rus ajansı kimliğine büründüğü tespit edildi.
IBM Security X-Force, izinsiz girişleri Hive0117 takma adı altında izlediği bir tehdit kümesine bağladı.
Şirket, “Kampanya, Rus Hükümetinin Federal İcra Dairesi’nden resmi iletişim gibi görünüyor, Rusça e-postalar Litvanya, Estonya ve Rusya’daki Telekomünikasyon, Elektronik ve Endüstriyel sektörlerdeki kullanıcılara yönelik” dedi. dedim.
Bulgular, Microsoft’un Rusya bağlantılı altı farklı aktörün 23 Şubat – 8 Nisan tarihleri arasında Ukrayna’ya karşı ülkedeki düzinelerce kuruluşta yüzlerce sistemdeki dosyaları geri dönülmez şekilde yok eden 38 ayrı yıkıcı saldırı da dahil olmak üzere en az 237 siber saldırı başlattığını açıklamasıyla geldi.
Jeopolitik gerilimler ve ardından Ukrayna’nın askeri işgali de bir veri silme saldırılarında artış görev açısından kritik süreçleri felce uğratmayı ve adli kanıtları yok etmeyi amaçlıyor.
Dahası, Ukrayna Bilgisayar Acil Müdahale Ekibi (CERT-UA) açıklığa kavuşmuş Güvenliği ihlal edilmiş sitelere kötü amaçlı JavaScript (“BrownFlood” olarak adlandırılır) enjekte edilerek devlet ve haber portallarına yönelik devam eden dağıtılmış hizmet reddi (DDoS) saldırılarının ayrıntıları.
DDoS saldırıları Ukrayna dışında da rapor edildi. Geçen hafta, Romanya Ulusal Siber Güvenlik Müdürlüğü (DNSC) ifşa kamu ve özel kurumlara ait birkaç web sitesinin “bu çevrimiçi hizmetleri kullanılamaz hale getirmeyi amaçlayan saldırganlar tarafından hedef alındığını” söyledi.
Killnet adlı Rus yanlısı bir kolektifin üstlendiği saldırılar, Romanya’nın Rusya ile askeri çatışmada Ukrayna’yı destekleme kararına yanıt olarak geldi.