Kaspersky Lab en son keşiflerini anlattı. Uzmanlar, Donetsk, Luhansk ve Kırım’da bulunan kuruluşlara ve şirketlere yönelik hedefli bir saldırı belirlediler. Siber casusluk kampanyası 2022’nin sonunda tescil edildi.
Saldırı, tarım ve ulaşım kuruluşlarını hedef alıyor. “Laboratuvarda” belirtildiği gibi, saldırı uzun süredir devam ediyor – en azından Eylül 2021’den beri. Üstelik bu tehdit hala aktif.
İlginç bir şekilde, saldırganlar saldırmak için önceden bilinmeyen kötü amaçlı yazılımları kullanır. Laboratuvarda keşfedilen karmaşık CommonMagic modüler çerçevesi, cihaza bir PowerShell arka kapısı bulaştıktan sonra kurulur. Saldırı birkaç aşamadan oluşur. İlk olarak, bir devlet kuruluşundan geliyormuş gibi görünen kimlik avı e-postaları gönderilir. Kurban daha sonra zararsız bir PDF, XLSX veya DOCX aldatıcı belge içeren kötü amaçlı bir web sunucusundan bir ZIP arşivi indirir ve buna .pdf.lnk gibi çift uzantılı kötü amaçlı bir LNK dosyası eklenir. Ardından, saldırganların komutlarını yürüten ve sonuçları buluta yükleyen PowerMagic arka kapısı cihaza kurulur.
Laboratuvar, PowerMagic’in USB aygıtlarından dosya çalabilen ve her üç saniyede bir ekran görüntüsü alıp saldırganlara gönderebilen CommonMagic kötü amaçlı yazılım platformunu dağıtmak için kullanıldığını belirtiyor.
Kaspersky Lab siber güvenlik uzmanı Leonid Bezvershenko şunları söyledi:
Jeopolitik, her zaman siber tehdit ortamını etkiler ve yenilerinin ortaya çıkmasına neden olur. Bu kampanyayı takip ediyoruz. Kötü amaçlı yazılım ve teknolojide dikkate değer değil – en ustaca değiller, ancak bulut depolamanın bir komuta ve kontrol altyapısı olarak kullanılması gerçeği. Bu tehdidi araştırmaya devam edeceğiz ve umarız daha sonraki bir tarihte CommonMagic hakkında daha fazla bilgi paylaşabiliriz.