Güvenlik araştırmacıları, kısa bir süre önce, yıkıcı WhisperGate kötü amaçlı yazılım siber saldırılarının arkasında olan ve bilgi çalan yeni bir kötü amaçlı yazılımla Ukraynalı kuruluşları hedef alan bir Rus bilgisayar korsanlığı ekibini gözlemlediklerini söylüyorlar.
Symantec’in Tehdit Avcısı Ekibi, atfedilen Bu kampanya, 2021’in başından beri aktif olan ve yaygın olarak TA471 (veya UAC-0056) olarak bilinen Rusya bağlantılı bir siber tehdit aktörüne yöneliktir. bilinen Rus hükümetinin çıkarlarını desteklemek için ve öncelikle Ukrayna’yı hedef alırken, grup aynı zamanda Kuzey Amerika ve Avrupa’daki NATO üye devletlerine karşı da aktif olmuştur. TA471, Ocak 2022’de Ukrayna hedeflerine yönelik çok sayıda siber saldırıda kullanılan, verileri silen, yıkıcı bir kötü amaçlı yazılım olan WhisperGate ile bağlantılıdır. Kötü amaçlı yazılım, fidye yazılımı kılığına girer, ancak hedeflenen cihazları tamamen çalışmaz hale getirir ve bir fidye talebi ödense bile dosyaları kurtaramaz hale getirir. .
Symantec’e göre, bilgisayar korsanlığı ekibinin son kampanyası, Ukrayna kuruluşlarını hedef almak için “Graphiron” adını verdiği, daha önce görülmemiş bilgi çalan kötü amaçlı yazılıma dayanıyor. Araştırmacılara göre kötü amaçlı yazılım, Ekim 2022’den en az Ocak 2023 ortasına kadar virüslü makinelerden veri çalmak için kullanıldı. [hackers’] alet çantası.”
Bilgi çalan kötü amaçlı yazılım, meşru Microsoft Office dosyaları gibi görünmek için tasarlanmış dosya adlarını kullanır ve diğer TA471 araçlarına benzer. GraphSteel ve GrimPlant, daha önce özellikle Ukrayna devlet organlarını hedef alan bir kimlik avı kampanyasının parçası olarak kullanılmıştı. Ancak Symantec, Graphiron’un ekran görüntüleri ve özel SSH anahtarları da dahil olmak üzere çok daha fazla veriyi sızdırmak için tasarlandığını söylüyor.
Symantec Threat Hunter Team’in baş istihbarat analisti Dick O’Brien, TechCrunch’a “Bu bilgi, istihbarat açısından kendi başına yararlı olabilir veya hedeflenen organizasyonun derinliklerine nüfuz etmek veya yıkıcı saldırılar başlatmak için kullanılabilir” dedi.
O’Brien, bilgisayar korsanlığı ekibinin kökeni veya stratejisi hakkında çok az şey bilinmesine rağmen, TA471’in Rusya’nın Ukrayna’ya karşı devam eden siber kampanyalarında kilit oyunculardan biri haline geldiğini söyledi.
TA471’in son casusluk kampanyasının haberi Ukrayna hükümetinden günler sonra geldi alarm çaldı Ukraynalı kuruluşlara karşı sık sık siber saldırı kampanyaları yürütmeye devam eden UAC-0010 adlı başka bir Rus devlet destekli bilgisayar korsanlığı grubu hakkında.
Ukrayna Devlet Siber Koruma Merkezi, “Esas olarak tekrarlanan teknik ve prosedür setlerini kullanmasına rağmen, saldırganlar yavaş ama ısrarlı bir şekilde taktiklerini geliştiriyor ve tespit edilmemek için kullanılmış kötü amaçlı yazılım türevlerini yeniden geliştiriyor” dedi. “Bu nedenle, ülkemizdeki kuruluşların karşı karşıya olduğu en önemli siber tehditlerden biri olmaya devam ediyor.”