Kaspersky Lab, Afganistan, Rusya ve Doğu Avrupa’daki bir dizi ülkede savunma kuruluşlarına ve devlet kurumlarına yönelik tespit edilen hedefli saldırı dalgasından bahsetti.
Toplamda, soruşturma sırasında uzmanlar bir düzineden fazla kuruluşa yönelik saldırıları tespit etti. Muhtemelen saldırganların amacı siber casusluktu. Uzmanlar, tespit edilen bir dizi saldırının Çince konuşan siber grup TA428’in faaliyetleriyle ilgili olabileceğini öne sürüyor. Daha önce bilinen arka kapıların yeni modifikasyonlarını kullandı.
Bazı durumlarda, saldırganlar BT altyapısını tamamen ele geçirmeyi başardı. Bunu yapmak için iyi hazırlanmış kimlik avı e-postaları kullandılar. Gizli bilgilerle çalışan çalışanların tam adları ve projelerin dahili kod adları da dahil olmak üzere, saldırganlar tarafından kullanıldığı sırada halka açık kaynaklarda bulunmayan dahili bilgileri içeriyorlardı. Kimlik avı e-postalarına, CVE-2017-11882 güvenlik açığından yararlanan kötü amaçlı kod içeren Microsoft Word belgeleri eşlik etti. Kötü amaçlı bir programın, kullanıcı tarafından herhangi bir ek işlem yapmadan virüslü bir sistemin kontrolünü ele geçirmesine izin verir; kullanıcının makro yürütmeyi etkinleştirmesine bile gerek yoktur.
Saldırganlar, saldırıyı geliştirmenin ana aracı olarak Ladon yardımcı programını ağı tarama, güvenlik açıklarını bulma ve kullanma ve parolaları çalma becerisiyle kullandılar. Son aşamada, etki alanı denetleyicisini ele geçirdiler ve ardından saldırganların ilgisini çeken organizasyonun iş istasyonları ve sunucuları üzerinde tam kontrol kazandılar. Gerekli hakları elde eden saldırganlar, gizli verileri içeren dosyaları aramaya ve farklı ülkelerde konuşlanmış sunucularına yüklemeye başladılar. Aynı sunucular kötü amaçlı yazılımları kontrol etmek için kullanıldı.