NATO’ya bağlı ülkelerin dışişleri bakanlıklarını hedef alan devam eden bir kampanya, Rus tehdit aktörlerinin müdahalesine işaret ediyor.
Kimlik avı saldırıları, bazıları Almanya’dan geliyormuş gibi gizlenen ve adı verilen bir kötü amaçlı yazılımın bir çeşidini dağıtmak için diplomatik tuzaklar içeren PDF belgeleri içerir. Dükatfedilen APT29 (namı diğer BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard ve The Dukes).
Hollandalı siber güvenlik şirketi EclecticIQ, “Tehdit aktörü, faaliyetlerini meşru web trafiğinin arkasına gizlemek ve kaçmak için komuta ve kontrol için açık kaynaklı bir sohbet uygulaması olan Zulip’i kullandı.” söz konusu geçen hafta yapılan bir analizde
Bulaşma sırası şu şekildedir: “Almanya Büyükelçisine Elveda” adlı PDF eki, güvenliği ihlal edilmiş ağlarda kalıcı bir arka kapı bırakmak için çok aşamalı bir süreci başlatan JavaScript koduyla birlikte gelir.
APT29’un davet temalarını kullanımı daha önce Lab52 tarafından rapor edilmişti. belgelenmiş Ek yükler almak için uzak bir sunucuyla iletişim kurabilen bir DLL yükü teslim etmek için Norveç büyükelçiliğini taklit eden bir saldırı.
“bahamas.gov” alan adının kullanımı[.]bs”, bu bağlantıyı daha da sağlamlaştırıyor. Bulgular, Anheng Tehdit İstihbarat Merkezi’nin önceki araştırmalarını da doğruluyor. piyasaya sürülmüş geçen ay.
Potansiyel bir hedef, PDF dosyasını açarak kimlik avı tuzağına yenik düşerse, Invitation_Farewell_DE_EMB adlı kötü amaçlı bir HTML damlatıcısı, JavaScript’i yürütmek üzere başlatılır ve bu dosya, dağıtım için tasarlanmış bir HTML Uygulaması (HTA) dosyasında paketlenen bir ZIP arşiv dosyasını bırakır. Duke kötü amaçlı yazılımı.
Komuta ve kontrol (C2), kurban ayrıntılarını aktör kontrollü bir sohbet odasına (toyy.zulipchat) göndermek için Zulip’in API’sinden yararlanılarak kolaylaştırılır.[.]com) yanı sıra güvenliği ihlal edilmiş ana bilgisayarlara uzaktan kumanda etme.
EclecticIQ, muhtemelen APT29 tarafından keşif veya test amacıyla kullanılan ikinci bir PDF dosyası belirlediğini söyledi.
“Bir yük içermiyordu, ancak bir kurbanın e-posta ekini güvenliği ihlal edilmiş bir alan olan edenparkweddings aracılığıyla bir bildirim alarak açması durumunda aktöre bildirildi.[.]com” dedi araştırmacılar.
Zulip’in kötüye kullanılmasının kurs için eşit olduğunu belirtmekte fayda var. devlet destekli grupbir sicili olan kaldıraç Google Drive, Microsoft OneDrive, Dropbox, Notion, Firebase ve C2 için Trello gibi çok çeşitli yasal internet hizmetleri.
APT29’un birincil hedefleri, ABD ve Avrupa’daki hükümetler ve hükümet taşeronları, siyasi kuruluşlar, araştırma firmaları ve kritik endüstrilerdir. Ancak ilginç bir dönüşte, bilinmeyen bir düşman gözlemlendi. taktiklerini kullanarak Çince konuşan kullanıcıları Cobalt Strike ile ihlal etmek.
Gelişme, Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) olarak geldi. uyardı Go tabanlı bir yazılım kullanarak Ukrayna’nın devlet kuruluşlarına yönelik yeni bir dizi kimlik avı saldırısı açık kaynaklı kullanım sonrası araç seti isminde Merlin. Etkinlik, UAC-0154 takma adı altında izleniyor.
Savaşın parçaladığı ülke ayrıca, öncelikle kritik operasyonları bozmayı ve stratejik bir avantaj elde etmek için istihbarat toplamayı amaçlayan, Rus askeri istihbaratına bağlı seçkin bir bilgisayar korsanlığı birimi olan Sandworm’un sürekli siber saldırılarıyla karşı karşıya kaldı.
Ukrayna Güvenlik Servisi’nin (SBU) yakın tarihli bir raporuna göre, tehdit aktörünün yetkisiz erişim elde etme girişiminde başarısız olduğu söyleniyor. Android tabletler muharebe görevlerini planlamak ve gerçekleştirmek için Ukrayna askeri personeli tarafından ele geçirildi.
Güvenlik teşkilatı, “Savaş alanında cihazların yakalanması, ayrıntılı incelenmesi ve mevcut erişimin ve yazılımın kullanılması, ilk erişim ve kötü amaçlı yazılım dağıtımı için birincil vektör haline geldi” dedi. söz konusu.
Kötü amaçlı yazılım türlerinden bazıları, kalıcılığı sağlamak için NETD’yi, uzaktan erişim sağlamak için DROPBEAR’ı, Starlink uydu sisteminden veri toplamak için STL’yi, verileri sızdırmak için DEBLIND’i ve Mirai botnet kötü amaçlı yazılımı. Saldırılarda ayrıca internet üzerinden yerel ağdaki cihaza erişmek için gizli bir TOR hizmeti de kullanılıyor.