Rus siber suçluların, bu kurumlarda çalışan BT personeli gibi görünerek bilgi çalan kötü amaçlı yazılımlarla Ukrayna hükümet çalışanlarını hedef aldığı gözlemlendi.
Ukrayna Bilgisayar Acil Müdahale Ekibinden (CERT-UA) siber güvenlik araştırmacıları, APT28 tehdit aktöründen (Fancy Bear olarak da bilinir) Rus devlet destekli bilgisayar korsanlarının Ukrayna hükümet çalışanlarına e-postalar gönderdiği bilgisayar korsanlığı kampanyasını tespit etti.
Devletin BT departmanından geldiği iddia edilen bu e-postalar, olası siber saldırıları önlemek için Windows cihazlarını derhal güncellemelerini istedi.
Ukraynalılar gibi poz vermek
Araştırmacılar, saldırganların bu bilgileri nasıl elde ettiğini söyleyemedi, ancak güvenilirliklerini artırmak için bilgisayar korsanları, bu kuruluşlarda çalışan gerçek kişilerin adlarını kullanarak @outlook.com e-posta adresleri oluşturacaklardı.
Herhangi bir kurban yemi yutarsa, saldırganlar onlara, cihazı güncellemek yerine bilgi çalan bir kötü amaçlı yazılım indiren bir PowerShell komutu çalıştırmalarını tavsiye ediyor.
Bu kötü amaçlı yazılım, hassas verileri toplamak ve bunları bir HTTP isteği aracılığıyla Mocky hizmet API’sine göndermek için “görev listesi” ve “sistem bilgisi” komutlarını kötüye kullanır.
CERT-UA, kimsenin oyuna gelmediğinden emin olmak için, gerçek BT departmanlarının kritik cihazlarda PowerShell komutlarını çalıştırma yeteneğini kısıtlamasını ve özellikle Mocky hizmet API’sine bir şey bağlanıyorsa şüpheli etkinlik için ağ trafiğini izlemesini önerir.
Bir yılı aşkın bir süredir devam eden Rus-Ukrayna savaşı, biri fiziksel, diğeri siber uzayda olmak üzere iki cephede yürütülüyor. Rus bilgisayar korsanları, hükümet uç noktalarına kötü amaçlı yazılım bulaştırmanın yanı sıra önemli hükümet ve medya web sitelerini çökertmeye çalışarak çok çalışıyorlar.
Aslında, Google’ın Tehdit Analizi Grubu (TAG), yılın ilk çeyreğinde Ukrayna hedeflerini hedef alan tüm kimlik avı e-postalarının neredeyse üçte ikisinin (%60) Rus tehdit aktörlerinden geldiğini söylüyor. TAG ayrıca APT28’in bu kampanyadaki kilit oyunculardan biri olduğunu iddia ediyor.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)