Ukrayna Bilgisayar Acil Müdahale Ekibi (CERT-UA) Salı günü yaptığı açıklamada, ülkedeki isimsiz bir kritik enerji altyapısı tesisine yönelik siber saldırıyı önlediğini söyledi.
Ajansa göre izinsiz giriş, enfeksiyon zincirini etkinleştiren kötü amaçlı bir ZIP arşivine bağlantı içeren bir kimlik avı e-postasıyla başladı.
CERT-UA, “Bağlantıyı ziyaret etmek, kurbanın bilgisayarına üç JPG görseli (decoys) içeren bir ZIP arşivi ve bir ‘weblinks.cmd’ BAT dosyası indirecektir.” söz konusubunu APT28 (diğer adıyla BlueDelta, Fancy Bear, Forest Blizzard veya FROZENLAKE) olarak bilinen Rus tehdit aktörüne atfediyoruz.
“Bir CMD dosyası çalıştırıldığında, birkaç tuzak web sayfası açılacak, .bat ve .vbs dosyaları oluşturulacak ve bir VBS dosyası başlatılacak ve bu dosya da BAT dosyasını çalıştıracak.”
Saldırının bir sonraki aşaması, kötü amaçlı trafiği yönlendirmek için TOR gizli hizmetinin indirilmesinin yanı sıra, ele geçirilen ana makinede “whoami” komutunu çalıştırmayı ve bilgilerin dışarı sızmasını içerir.
Kalıcılık, zamanlanmış bir görev aracılığıyla elde ediliyor ve yakın zamanda Dark Pink olarak bilinen bir tehdit aktörü tarafından kullanıldığı açıklanan webhook.site adlı meşru bir hizmet aracılığıyla cURL kullanılarak uzaktan komut yürütme uygulanıyor.
CERT-UA, Mocky ve Windows Komut Dosyası Sunucusuna erişimin engellenmesi nedeniyle saldırının sonuçta başarısız olduğunu söyledi (wscript.exe) kısıtlandı. APT28’in geçmişte Mocky API’lerin kullanımıyla bağlantılı olduğunu belirtmekte fayda var.
Algıla, Yanıtla, Koru: Eksiksiz SaaS Güvenliği için ITDR ve SSPM
Kimlik Tehdit Algılama ve Yanıtının (ITDR) SSPM’nin yardımıyla tehditleri nasıl tanımladığını ve azalttığını keşfedin. Kurumsal SaaS uygulamalarınızın güvenliğini nasıl sağlayacağınızı ve ihlal sonrasında bile verilerinizi nasıl koruyacağınızı öğrenin.
Açıklama bu arada geldi kimlik avı saldırılarına devam edildi Bazıları Ukrayna’yı hedef alıyor gözlemlendi AsyncRAT’ı dağıtmak için ScruptCrypt adlı kullanıma hazır bir kötü amaçlı yazılım gizleme motorundan yararlanıyor.
GhostWriter (diğer adıyla UAC-0057 veya UNC1151) tarafından gerçekleştirilen bir başka siber saldırının, kurum PicassoLoader ve Cobalt Strike’ı dağıtmak için WinRAR’da yakın zamanda açıklanan sıfır gün kusurunu (CVE-2023-38831, CVSS puanı: 7,8) silah olarak kullandığı söyleniyor. söz konusu.