Siber suçlular, daha önce OneDrive ve Dropbox kullanırken, saldırıları için Yandex.Disk’i kullanmaya başladı.
Bu, bilgi güvenliği konusunda uzmanlaşmış Positive Technologies şirketine atıfta bulunarak “Izvestia” yayını tarafından bildirildi.
Çinli olarak kabul edilen ART31 grubuna ait hackerlar, 2022 yılının başından bu yana Rus medyasına ve akaryakıt ve enerji sektöründeki şirketlere bir dizi saldırı gerçekleştirdi. Aynı zamanda kullanıcıların bilgisayarlarına yönelik saldırılarında da Yandex Disk’i kullanmaya başladılar. Uzmanlara göre saldırganlar ilk kez Rus bulut depolama alanını kullandı.
Kullanılan şema şu şekildedir: kullanıcı “list.docx” isimli bir e-posta belgesi alır, açıldığında bir makro yüklenir ve ardından kullanıcının dikkatini dağıtan bir belge, yürütülebilir bir dosya olmak üzere üç dosya, ve kötü amaçlı bir kitaplık. Yürütülebilir dosya, siber saldırılara açık olan bir Yandex Tarayıcı bileşenidir. Ardından, kötü amaçlı yazılım Yandex Disk’e gider ve ihtiyaç duyduğu komutları oradan alır.
Positive Technologies uzmanı Daniil Koloskov’un belirttiği gibi, Yandex Disk’in kontrol sunucusu olarak kullandığı kötü amaçlı yazılımı tespit etmek son derece zor. Açıkladı:
Aslında bu, istemci ile hizmet arasındaki normal meşru trafiktir. Bu kötü amaçlı yazılımlar, yalnızca anti-virüs teknolojileri de dahil olmak üzere izleme araçları kullanılarak zaman içinde tespit edilebilir.