olarak bilinen gelişmiş kalıcı tehdit Kış Vivern’i 2021’den beri Hindistan, Litvanya, Slovakya ve Vatikan’da hükümet yetkililerini hedef alan kampanyalarla bağlantılı.
SentinelOne, The Hacker News ile paylaştığı bir raporda, faaliyetin Polonya hükümet kurumlarını, Ukrayna Dışişleri Bakanlığını, İtalya Dışişleri Bakanlığını ve Hindistan hükümeti içindeki kişileri hedef aldığını söyledi.
Kıdemli tehdit araştırmacısı Tom Hegel, “APT’nin devam eden savaşta Ukrayna’yı destekleyen telekomünikasyon kuruluşları da dahil olmak üzere özel işletmeleri hedeflemesi özellikle ilgi çekicidir.” söz konusu.
UAC-0114 olarak da izlenen Winter Vivern, geçen ay Ukrayna Bilgisayar Acil Müdahale Ekibinin (CERT-UA) Aperetif adlı bir kötü amaçlı yazılım parçası dağıtmak için Ukrayna ve Polonya devlet makamlarını hedefleyen yeni bir kötü amaçlı yazılım kampanyasını detaylandırmasının ardından dikkatleri üzerine çekti.
Grubu anlatan önceki genel raporlar, güvenliği ihlal edilmiş ana bilgisayarlara PowerShell implantlarını dağıtmak için XLM makroları içeren silah haline getirilmiş Microsoft Excel belgelerinden yararlandığını gösteriyor.
Tehdit aktörünün kökenleri bilinmemekle birlikte saldırı kalıpları, kümelenmenin Beyaz Rusya ve Rusya hükümetlerinin çıkarlarını destekleyen hedeflerle uyumlu olduğunu gösteriyor.
UAC-0114, özel yüklerini dağıtmak ve hassas sistemlere yetkisiz erişim elde etmek için hedeflenen kuruluşa göre uyarlanmış kimlik avı web sitelerinden kötü amaçlı belgelere kadar çeşitli yöntemler kullanmıştır.
2022’nin ortalarında gözlemlenen bir dizi saldırıda Winter Vivern, kullanıcıları Hindistan hükümetinin meşru e-posta hizmeti email.gov’a çekmek için kimlik bilgilerine dayalı kimlik avı web sayfaları kurdu.[.]içinde.
Tipik saldırı zincirleri, güvenliği ihlal edilmiş WordPress siteleri gibi aktör tarafından kontrol edilen altyapılardan Aperetif truva atının konuşlandırılmasını tetiklemek için virüs tarayıcıları gibi görünen toplu komut dosyalarının kullanılmasını içerir.
Visual C++ tabanlı bir kötü amaçlı yazılım olan Aperetif, kurban verilerini toplama, arka kapı erişimini sürdürme ve komut ve kontrol (C2) sunucusundan ek yükler alma özellikleriyle birlikte gelir.
Hegel, “Winter Vivern APT, sınırlı kaynaklara sahip ancak son derece yaratıcı bir gruptur ve saldırıları kapsamında itidal gösterir” dedi.
“Hedefleri saldırılara çekme yetenekleri ve hükümetleri ve yüksek değerli özel işletmeleri hedef almaları, operasyonlarındaki karmaşıklık düzeyini ve stratejik niyeti gösteriyor.”
Winter Vivern, uzun süre halkın gözünden kaçmayı başarmış olsa da, radarın altında kalmakla pek ilgilenmeyen bir grup, APT29 (namı diğer BlueBravo, Cozy Bear veya The Dukes) ile örtüşen Nobelium’dur.
Aralık 2020’de SolarWinds tedarik zinciri uzlaşmasıyla ünlenen Kremlin destekli ulus devlet grubu, MagicWeb ve GraphicalNeutrino gibi yeni özel kötü amaçlı yazılımlar geliştirerek araç setini geliştirmeye devam etti.
Ayrıca, “ülkeden kaçan Ukrayna vatandaşlarına yardım eden ve Ukrayna hükümetine yardım sağlayan” ajanslara özel vurgu yapılarak, Avrupa Birliği’ndeki diplomatik kuruluşlara yönelik bir başka kimlik avı kampanyasına da atfedildi.
BlackBerry, “Nobelium, Rusya-Ukrayna savaşında Ukrayna’yı destekleyen ülkeler hakkında aktif olarak istihbarat bilgileri topluyor” dedi. söz konusu. “Tehdit aktörleri, jeopolitik olayları dikkatle takip ediyor ve başarılı bir enfeksiyon olasılığını artırmak için kullanıyor.”
Şirketin araştırma ve istihbarat ekibi tarafından tespit edilen kimlik avı e-postaları, bir HTML dosyasına işaret eden bir bağlantı içeren silahlı bir belge içeriyor.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
El Salvador merkezli meşru bir çevrimiçi kütüphane web sitesinde barındırılan silah haline getirilmiş URL’ler, her ikisi de AB ülkeleri tarafından güvenli belge alışverişi için kullanılan LegisWrite ve eTrustEx ile ilgili tuzaklar içeriyor.
Kampanyada sunulan HTML damlatıcısı (ROOTSAW veya EnvyScout olarak adlandırılır), bir sonraki aşama kötü amaçlı yazılımın Notion’ın API’leri aracılığıyla iletilmesini kolaylaştıran kötü amaçlı bir dinamik bağlantı kitaplığı (DLL) başlatmak için tasarlanmış bir ISO görüntüsünü yerleştirir.
C2 iletişimleri için popüler bir not alma uygulaması olan Notion’ın kullanımı daha önce Ocak 2023’te Recorded Future tarafından ortaya çıkmıştı. APT29’un Dropbox, Google Drive, Firebase ve Trello tespitten kaçmak için.
Microsoft, “Nobelium, ABD, Avrupa ve Orta Asya’daki devlet kuruluşlarını, sivil toplum kuruluşlarını (STK’lar), hükümetler arası kuruluşları (IGO’lar) ve düşünce kuruluşlarını hedef alan paralel olarak çok sayıda kampanya yürüterek son derece aktif olmaya devam ediyor” dedi. belirtilmiş geçen ay.
Bulgular aynı zamanda, kurumsal güvenlik firması Proofpoint’in, 2021’in başlarından beri TA499 (Lexus ve Vovan olarak da bilinir) adlı Rusya bağlantılı bir tehdit aktörü tarafından hedefleri kandırarak kayıtlı telefon görüşmelerine veya görüntülü sohbetlere katılmalarını sağlamak ve değerli bilgiler elde etmek için düzenlediği agresif e-posta kampanyalarını ifşa etmesiyle geldi.
Şirket, “Tehdit aktörü istikrarlı bir faaliyet yürüttü ve Ukrayna’daki insani yardım çabalarına büyük bağışlarda bulunan veya Rus dezenformasyonu ve propagandası hakkında kamuoyuna açıklama yapan önde gelen iş adamlarını ve yüksek profilli kişileri içerecek şekilde hedefini genişletti.” söz konusu.