Ukrayna askeri birimleri, Merlin adı verilen Go tabanlı açık kaynaklı bir sömürü sonrası araç seti sunmak için drone kılavuzlarından yararlanan bir kimlik avı kampanyasının hedefi.
Securonix araştırmacıları Den Iuzvyk, Tim Peck ve Oleg Kolesnikov şunları söyledi: “Dronlar veya İnsansız Hava Araçları (İHA’lar), Ukrayna ordusu tarafından kullanılan ayrılmaz bir araç olduğundan, İHA servis kılavuzları temalı kötü amaçlı yazılım içeren yem dosyaları ortaya çıkmaya başladı.” A rapor The Hacker News ile paylaşıldı.
Siber güvenlik şirketi kampanyayı bu isim altında takip ediyor STARK#VORTEX.
Saldırının başlangıç noktası, açıldığında, gizlenmiş bir ikili dosyayı getirmek üzere uzak bir sunucuyla iletişim kurmak üzere tasarlanmış PowerShell kodunu yürütmek üzere HTML sayfalarından birinin içine yerleştirilmiş kötü amaçlı JavaScript’i çalıştıran bir Microsoft Derlenmiş HTML Yardımı (CHM) dosyasıdır.
Windows tabanlı verinin kodu çözülerek Merlin Temsilcisibu da, kullanım sonrası eylemler için bir komuta ve kontrol (C2) sunucusuyla iletişim kuracak şekilde yapılandırılmış ve ana bilgisayar üzerindeki kontrolü etkin bir şekilde ele geçirecek şekilde yapılandırılmıştır.
Araştırmacılar, “Saldırı zinciri oldukça basit olsa da, saldırganlar tespit edilmekten kaçınmak için bazı oldukça karmaşık TTP’lerden ve gizleme yöntemlerinden yararlandı” dedi.
Merlin kullanılarak Ukrayna hükümet kuruluşları ilk kez hedef alınıyor. Ağustos 2023’ün başlarında, Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), bilgisayarlara açık kaynak aracını bulaştırmak için CHM dosyalarını tuzak olarak kullanan benzer bir saldırı zincirini ortaya çıkardı.
CERT-UA, izinsiz girişleri UAC-0154 adı altında izlediği bir tehdit aktörüne bağladı.
Araştırmacılar, “Saldırı zincirinde kullanılan dosya ve belgeler, savunmaları aşma konusunda oldukça yeteneklidir” diye açıkladı.
Yapay Zekayla Yapay Zekayla Mücadele Edin — Yeni Nesil Yapay Zeka Araçlarıyla Siber Tehditlerle Mücadele Edin
Yapay zekanın yönlendirdiği yeni siber güvenlik zorluklarının üstesinden gelmeye hazır mısınız? Siber güvenlikte artan üretken yapay zeka tehdidini ele almak için Zscaler ile kapsamlı web seminerimize katılın.
“Genellikle internet üzerinden bir Microsoft yardım dosyası almak alışılmadık bir durum olarak kabul edilir. Ancak saldırganlar, yem belgelerini, şüphelenmeyen bir kurbanın yardım temalı bir belge veya dosyada görünmesini bekleyebileceği bir şekilde görünecek şekilde çerçeveledi.”
Gelişme, CERT-UA’nın, Rusya devleti destekli APT28 ekibi tarafından gerçekleştirilen, ülkedeki isimsiz bir kritik enerji altyapısı tesisine yönelik başarısız bir siber saldırı tespit ettiğini açıklamasından haftalar sonra geldi.