Emsalden bir kopuş olarak, Rusya’nın şimdiye kadar tamamen mali güdümlü Trickbot tehdit grubu, görünüşe göre Rus hükümetinin bölgedeki çıkarlarını desteklemek için son üç aydır Ukrayna’daki hedeflere sistematik olarak saldırıyor.
IBM’in X-Force tehdit istihbarat grubundan araştırmacılar bu hafta, Trickbot’un Ukrayna’daki hedeflerin peşinden gittiği iki kampanyayı ortaya çıkardıklarını ve Ukrayna’nın Bilgisayar Acil Müdahale Ekibi’nin (CERT-UA) açıkladığı dört diğerini analiz ettiklerini söyledi. Kampanyalar Rusya’nın Şubat ayında Ukrayna’yı işgalinden sonra başladı ve Ukrayna devlet yetkililerini, devlet kurumlarını, belirli kişileri ve genel nüfusu hedef aldı. Saldırıların birçoğu, Ukraynalı kullanıcıların dikkatini çekmek için tasarlanmış çeşitli temalara sahip kimlik avı e-postalarını içeriyordu – bazıları savaşla ilgili olanlar dahil.
IBM, saldırıların Trickbot için benzeri görülmemiş bir değişimi vurguladığını ve eski Sovyetler Birliği devletlerindeki tehdit gruplarının tipik olarak birbirlerinin ülkelerindeki hedeflere saldırmaktan kaçındığı için dikkate değer olduğunu söyledi.
Rus işgalinden önce, IBM’in Trickbot’u takip ettiği isim olan ITG23’ün Ukrayna’yı hedef aldığı bilinmiyordu. IBM, bu hafta bulgularını özetleyen bir raporda, “Grubun kötü amaçlı yazılımlarının çoğu, Ukrayna dili tespit edildiğinde sistemlerde yürütülmeyecek şekilde yapılandırıldı.” Dedi. “ITG23’ün Ukrayna’ya karşı kampanyaları, bu etkinliğin tarihsel emsalden ne ölçüde farklı olduğu ve bu kampanyaların özellikle daha yüksek derecede hedef seçimi öneren bazı yüklerle Ukrayna’yı hedef alması nedeniyle dikkate değerdir.”
Birden Çok Kötü Amaçlı Yazılım Aracı
IBM, Ukraynalı hedeflere yönelik saldırılarında Trickbot’un IcedID, Cobalt Strike, AnchorMail ve Meterpreter gibi bilinen çeşitli kötü amaçlı yazılım araçlarını dağıttığını gözlemlediğini söyledi. Saldırılardan bazıları, kötü amaçlı bir Excel indiricisi, çeşitli kötü amaçlı yazılım yüklerini bırakmak için kendi kendine açılan bir arşiv ve yeni bir kötü amaçlı yazılım şifreleme ve gizleme aracı gibi yeni araçların kullanımını içeriyordu.
IBM’in ortaya çıkardığı iki Trickbot kampanyasından biri Mayıs ayı başlarındaydı. Bu saldırılarda IBM, tehdit aktörünün AnchorMail arka kapısını güvenliği ihlal edilmiş sistemlere indirmek için silahlı bir Excel dosyası kullandığını gözlemledi. AnchorMail, yakından bağlantılı Conti grubunun üyelerinin Conti fidye yazılımını dağıtmak için kullandığı bir arka kapı olan Trickbot’s AnchorDNS’nin yenilenmiş bir versiyonudur. IBM X-Force araştırmacıları daha önce kötü amaçlı yazılımı aşağıdakiler için dikkate değer olarak tanımlamıştı: komut ve kontrol (C2) sunucusuyla iletişim kurmak DNS protokolünü kullanarak.
IBM X-Force araştırmacılarının tespit ettiği yakın tarihli ikinci Trickbot kampanyası, büyük olasılıkla Mayıs sonu veya Haziran başında gerçekleşti. Bu kampanyada, Trickbot oyuncuları bir ISO görüntü dosyası — veya bir optik diskin içeriğini içeren arşiv dosyası — Kobalt Saldırısı sonrası saldırı kitini hedef sisteme düşürmek için bir saldırı zincirinin parçası olarak. Haziran ayında, Trickbot kullanıcılarının, Cobalt Strike’ı dağıtmak için Windows Microsoft Destek Tanılama Aracı’ndaki (MSDT) “Follina” sıfır gün hatasını kullandığı gözlemlendi.
CERT-UA’nın ifşa ettiği ve IBM X-Force araştırmacılarının analiz ettiği kampanyalar, kötü amaçlı yazılım dağıtıcısına dönüşen bir bankacılık Truva Atı olan Trickbot’un IcedID’yi devreye alma girişimlerini; Metasploit saldırı yükü, Meterpreter; ve kobalt grevi. Gözlemlenen altı kampanyanın beşinde, Trickbot oyuncuları hedef sistemlere doğrudan Cobalt Strike, AnchorMail veya Meterpreter indirdi – bu araçları ikincil yükler olarak dağıtma konusundaki olağan alışkanlıklarından bir başka kopuş. IBM, anahtarın “bu saldırıların, ITG23’ün hemen daha yüksek değerli arka kapıları devreye almaya istekli olduğu hedefli kampanyaların bir parçası olduğunu” öne sürdüğünü söyledi.
IBM, Trickbot’un Ukrayna saldırılarında kullandığı yeni kötü amaçlı Excel indiricisini, sabit kodlanmış bir URL’den kötü amaçlı yazılım indirmek için tasarlanmış olarak tanımladı. İndirici, Excel dosyası içinde bir makro olarak depolanır ve dosya açılırsa, kullanıcının makroları etkinleştirmesi koşuluyla otomatik olarak çalışır. IBM’in gözlemlediği AnchorMail için yeni damlalık, bir WinRAR Kendiliğinden Çıkarılan Arşiv biçimindedir. Damlalık, AnchorMail’i virüslü sistemlerde oluşturmak ve yapılandırmak için bir komut dosyası çıkarmak ve yürütmek üzere donatılmıştır.
Trickbot, en az 2016’dan beri var olan oldukça başarılı bir tehdit grubudur. Grup, başlangıçta bankacılık hesaplarının kimlik bilgilerini çalmak için kendi adını taşıyan kötü amaçlı yazılımını kullandı. Yıllar boyunca, grup gelişti Conti ve Ryuk ve Emotet başta olmak üzere çeşitli fidye yazılımı ve kötü amaçlı yazılım araçları için bir tür ilk erişim komisyoncusu ve dağıtıcısı haline geldi. Trickbot, veri çalmak, kripto madenciliğini etkinleştirmek, sistemleri numaralandırmak ve diğer kötü niyetli faaliyetler için çeşitli şekillerde kullanılır.
Geçen yıl grubun önemli bir üyesinin tutuklanmasıyla ilgili mahkeme belgeleri, birkaç kötü amaçlı yazılım uzmanı da dahil olmak üzere yaklaşık 20 siber suçlunun kötü amaçlı yazılımı oluşturmak için işbirliği yaptığını gösterdi. Tehdit aktörünü ortadan kaldırmak için 2020’de gerçekleştirilen devasa bir uluslararası kolluk kuvveti operasyonu, faaliyetlerini geçici olarak kesintiye uğrattı, ancak durduramadı.