Azerbaycan’da bulunan hedefler, Rust tabanlı kötü amaçlı yazılımların ele geçirilen sistemlere dağıtılması için tasarlanan yeni bir kampanyanın parçası olarak belirlendi.
Siber güvenlik firması Deep Instinct, operasyonu Rusty Flag Operasyonu adı altında takip ediyor. Bilinen herhangi bir tehdit aktörü veya grubuyla ilişkisi bulunmamaktadır.
Güvenlik araştırmacıları Simon Kenin, Ron Ben Yizhak ve Mark Vaitzman, “Operasyonun en az iki farklı başlangıç erişim vektörü var” söz konusu Geçen hafta yayınlanan bir analizde. “Operasyonda kullanılan tuzaklardan biri Storm-0978 grubu tarafından kullanılan değiştirilmiş bir belge. Bu kasıtlı bir ‘sahte bayrak’ olabilir.”
Saldırı zinciri, Dropbox’ta barındırılan bir MSI yükleyicisi olan ikinci aşama veriyi almak için 1.KARABAKH.jpg.lnk adlı LNK dosyasını fırlatma rampası olarak kullanıyor.
Yükleyici dosyası ise Rust’ta yazılmış bir implantı, implantı yürütmek için zamanlanmış bir görev için bir XML dosyasını ve implantın filigranlarını içeren bir sahte görüntü dosyasını bırakır. sembol Azerbaycan Savunma Bakanlığı’nın.
Alternatif bir bulaşma vektörü, Microsoft Office’in Denklem Düzenleyicisi’nde altı yıllık bir bellek bozulması güvenlik açığı olan CVE-2017-11882’yi kullanarak farklı bir MSI dosyası sunan bir Dropbox URL’sini çağıran “Overview_of_UWCs_UkraineInNATO_campaign.docx” adlı bir Microsoft Office belgesidir. aynı Rust arka kapısının bir çeşidi.
Summary_of_UWCs_UkraineInNATO_campaign.docx’in kullanımı dikkate değerdir; çünkü aynı dosya adına sahip bir yem, Office’in uzaktan kod yürütme kusurundan yararlanan ve Ukrayna’yı hedef alan son siber saldırılarda Storm-0978 (aka RomCom, Tropical Scorpius, UNC2596 ve Void Rabisu) tarafından desteklenmiştir ( CVE-2023-36884).
SaaS Güvenliğini Yükseltme: ITDR ve SSPM için Kapsamlı Bir Kılavuz
ITDR’nin tehditleri nasıl tanımlayıp azalttığına ilişkin eyleme geçirilebilir bilgilerle bir adım önde olun. Kimliğinizin ihlal edilemez kalmasını sağlamada SSPM’nin vazgeçilmez rolü hakkında bilgi edinin.
Araştırmacılar, “Bu eylem, bu saldırıyı Storm-0978’e bağlamak için kasıtlı bir yanıltma girişimi gibi görünüyor” dedi.
“WinDefenderHealth.exe” kılığına giren Rust arka kapısı, ele geçirilen ana bilgisayardan bilgi toplayıp saldırganın kontrolündeki bir sunucuya gönderme yetenekleriyle donatılmıştır.
Kampanyanın kesin nihai hedefleri bu aşamada belirsizliğini koruyor. Aynı zamanda bunun bir kırmızı takım antrenmanı olma ihtimali de göz ardı edilmedi.
Araştırmacılar, “Rust, kötü amaçlı yazılım yazarları arasında giderek daha popüler hale geliyor” dedi. “Güvenlik ürünleri henüz Rust kötü amaçlı yazılımlarını doğru bir şekilde tespit edemiyor ve tersine mühendislik süreci daha karmaşık.”