olarak bilinen Rus tehdit aktörü Shuckworm güvenliği ihlal edilmiş ortamlardan hassas bilgileri çalmak amacıyla Ukrayna kuruluşlarına karşı siber saldırı çılgınlığını sürdürdü.
Şubat/Mart 2023’te başlayan son izinsiz girişlerin hedefleri arasında güvenlik hizmetleri, ordu ve devlet kuruluşları, Symantec yer alıyor. söz konusu The Hacker News ile paylaşılan yeni bir raporda.
Siber güvenlik şirketi, “Bazı durumlarda, Rus grubu üç aya varan uzun süreli izinsiz girişleri sahnelemeyi başardı” dedi.
“Saldırganlar, Ukrayna askerlerinin ölümleri hakkındaki raporlar, düşman çatışmaları ve hava saldırıları raporları, cephanelik envanter raporları, eğitim raporları ve daha fazlası gibi hassas bilgilere tekrar tekrar erişmeye ve bunları çalmaya çalıştı.”
Aqua Blizzard (eski adıyla Actinium), Armageddon, Gamaredon, Iron Tilden, Primitive Bear, Trident Ursa, UNC530 ve Winterflounder adlarıyla da bilinen Shuckworm, Rusya Federal Güvenlik Servisi’ne (FSB) atfedilir. En az 2013’ten beri aktif olduğu söyleniyor.
Siber casusluk faaliyetleri, kurbanları bubi tuzaklı ekleri açmaya ikna etmek için tasarlanmış ve sonuçta Giddome, Pterodo, GammaLoad ve GammaSteel gibi bilgi hırsızlarının virüs bulaşmış ana bilgisayarlarda konuşlandırılmasına yol açan mızraklı kimlik avı kampanyalarından oluşur.
Secureworks, “Iron Tilden, yüksek tempolu operasyonlar lehine operasyonel güvenliğin bir kısmını feda ediyor, bu da altyapılarının belirli Dinamik DNS sağlayıcılarının, Rus barındırma sağlayıcılarının ve uzak şablon enjeksiyon tekniklerinin düzenli kullanımı yoluyla tanımlanabileceği anlamına geliyor.” notlar tehdit aktörü profilinde.
Symantec tarafından detaylandırılan en son saldırı setinde, tehdit aktörlerinin USB sürücüler aracılığıyla Pterodo arka kapısını yaymak için yeni bir PowerShell komut dosyası kullandığı gözlemlendi.
Shuckworm’un, yükleri barındıran sunucunun IP adresini almak için Telegram kanallarını kullandığı iyi belgelenmiş olsa da, tehdit aktörünün, sahip olduğu bir blog platformu olan Telegraph’ta komuta ve kontrol (C2) adreslerini depolamak için tekniği genişlettiği söyleniyor. Telgraf.
Grup tarafından ayrıca güvenliği ihlal edilmiş USB sürücüleri aracılığıyla yayılan ve ana bilgisayara ek kötü amaçlı yazılım indirme yetenekleri sunan bir PowerShell betiği (“foto.safe”) de kullanılıyor.
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
İzinsiz girişlerin daha ayrıntılı bir analizi, saldırganın hedeflenen kuruluşların insan kaynakları departmanlarının makinelerini ihlal etmeyi başardığını ve bu kuruluşlarda çalışan çeşitli kişiler hakkında bilgi toplama girişimlerini öne sürdüğünü gösteriyor.
Bulgular, Shuckworm’un kısa ömürlü altyapıya devam eden güveninin ve tespit eğrisinin önünde kalmak için taktik ve araçların devam eden gelişiminin bir başka göstergesidir.
Ayrıca, Microsoft’un Ukrayna’yı hedef alan Cadet Blizzard olarak bilinen başka bir Rus ulus-devlet aktörü tarafından gerçekleştirilen yıkıcı saldırılara, casusluğa ve bilgi operasyonlarına ışık tutmasından bir gün sonra geliyorlar.
Symantec, “Bu faaliyet, Shuckworm’un Ukrayna’ya acımasızca odaklanmasının devam ettiğini gösteriyor” dedi. “Rus ulus-devlet destekli saldırı gruplarının, askeri operasyonlarına potansiyel olarak yardımcı olabilecek verileri bulma girişimlerinde Ukrayna hedeflerine lazerle saldırmaya devam ettiği açık görünüyor.”