Siber güvenlik araştırmacıları, Microsoft Office’teki yaklaşık yedi yıllık bir kusurdan yararlanılarak ele geçirilen sistemlerde Kobalt Saldırısı gerçekleştirildiği tespit edilen, Ukrayna’ya yönelik hedefli bir operasyon keşfetti.
Deep Instinct’e göre 2023’ün sonunda gerçekleşen saldırı zinciri, başlangıç noktası olarak bir PowerPoint slayt gösterisi dosyası (“signal-2023-12-20-160512.ppsx”) kullanıyor ve dosya adı, bu saldırının bir saldırı aracı olabileceğini ima ediyor. Signal anlık mesajlaşma uygulaması aracılığıyla paylaşıldı.
Bununla birlikte, Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), mesajlaşma uygulamasını bir araç olarak kullanan iki farklı kampanyayı ortaya çıkarmış olsa da, PPSX dosyasının bu şekilde dağıtıldığını gösteren gerçek bir kanıt yoktur. kötü amaçlı yazılım dağıtım vektörü geçmişte.
Daha geçen hafta ajans açıklandı Ukrayna silahlı kuvvetlerinin, HijackLoader (diğer adıyla GHOSTPULSE ve GÖLGE MERDİVENİ), XWorm ve Remcos RAT gibi açık kaynaklı programların yanı sıra tabela Ve tusc bilgisayarlardan veri sızdırmak.
Güvenlik araştırmacısı Ivan Kosarev, “PPSX (PowerPoint slayt gösterisi) dosyası, ABD Ordusu’nun tanklar için mayın temizleme bıçaklarına (MCB) yönelik eski bir kullanım kılavuzu gibi görünüyor.” söz konusu. “PPSX dosyası harici bir OLE nesnesine uzak bir ilişki içeriyor.”
Bu, sömürülmeyi içerir CVE-2017-8570 (CVSS puanı: 7,8), Office’te artık yamalanmış bir uzaktan kod yürütme hatası olup, bir saldırganın, kurbanı özel hazırlanmış bir dosyayı açmaya ve dokumasilk üzerinde barındırılan uzak bir komut dosyasını yüklemeye ikna ettikten sonra rastgele eylemler gerçekleştirmesine olanak verebilir.[.]uzay.
Oldukça karmaşık hale getirilmiş komut dosyası daha sonra JavaScript kodu içeren bir HTML dosyasını başlatır ve bu da Windows Kayıt Defteri aracılığıyla ana bilgisayarda kalıcılığı ayarlar ve Cisco AnyConnect VPN istemcisinin kimliğine bürünen bir sonraki aşama yükünü bırakır.
Yük, sonuçta kırık bir dosya enjekte eden bir dinamik bağlantı kitaplığı (DLL) içerir. Kobalt Saldırı İşaretiMeşru bir kalem testi aracı olan .[.]eğlence”).
DLL ayrıca bir sanal makinede yürütülüp yürütülmediğini kontrol etmek ve güvenlik yazılımı tarafından tespit edilmekten kaçınmak için özellikler içerir.
Deep Instinct, saldırıları belirli bir tehdit aktörü veya grubuyla ilişkilendiremeyeceğini veya kırmızı ekip çalışması olasılığını dışlayamayacağını söyledi. Ayrıca izinsiz girişin kesin nihai hedefi de belirsizdir.
Kosarev, “Yem, askeri personeli hedef aldığını düşündüren askeri içerik içeriyordu” dedi.
“Fakat dokumasilk alan adları[.]uzay ve petapixel[.]eğlence, belirsiz bir üretken sanat sitesi olarak gizleniyor (weavesilk[.]com) ve popüler bir fotoğraf sitesi (petapixel)[.]com). Bunlar birbiriyle ilgisiz ve bir saldırganın bunları özellikle askeri personeli kandırmak için kullanması biraz kafa karıştırıcı.”
Açıklama CERT-UA olarak geliyor açıklığa kavuşmuş Ukrayna’daki yaklaşık 20 enerji, su ve ısıtma tedarikçisinin, Sandworm’un (diğer adıyla APT44, FROZENBARENTS, Seashell Blizzard, UAC-0002 ve Voodoo Bear) içindeki bir alt küme olan UAC-0133 adlı Rus devlet destekli bir grup tarafından hedef alındığı belirtildi. Ülkeye karşı yapılan tüm yıkıcı ve yıkıcı operasyonların büyük bir kısmından sorumlu olan.
Kritik operasyonları sabote etmeyi amaçlayan saldırılar, Kapeka (aka ICYWELL, KnuckleTouch, QUEUESEED ve falsesens) gibi kötü amaçlı yazılımların ve onun Linux versiyonu BIASBOAT’ın yanı sıra GOSSIPFLOW ve LOADGRIP’in kullanımını içeriyor.
GOSSIPFLOW, Golang tabanlı bir SOCKS5 proxy’si olsa da, LOADGRIP, güvenliği ihlal edilmiş Linux ana bilgisayarlarına BIASBOAT’ı yüklemek için kullanılan, C dilinde yazılmış bir ELF ikili programıdır.
Kum kurdu, Rusya Federasyonu Silahlı Kuvvetleri Genelkurmay Başkanlığı (GRU) Ana Müdürlüğü bünyesindeki Birim 74455’e bağlı, üretken ve son derece uyarlanabilir bir tehdit grubudur. En az 2009’dan beri aktif olduğu biliniyor ve düşman aynı zamanda XakNet Team, CyberArmyofRussia_Reborn ve Solntsepek gibi üç hack-and-leak hacktivist kişiliğiyle de bağlantılı.
“Rus askeri istihbaratının sponsorluğunda APT44, casusluk, saldırı ve saldırıların tüm yelpazesinde aktif olarak yer alan dinamik ve operasyonel açıdan olgun bir tehdit aktörüdür. operasyonları etkilemek,” Mandiant söz konusuGelişmiş kalıcı tehdidin (APT), Ocak 2022’den bu yana Rusya’nın savaş zamanı avantajı kazanmasına yardımcı olmak için çok yönlü bir çaba içinde olduğunu tanımlıyor.
“APT44 operasyonları küresel çaptadır ve Rusya’nın geniş kapsamlı ulusal çıkarlarını ve hedeflerini yansıtmaktadır. Zaman içindeki faaliyet modelleri, APT44’ün bir dizi farklı stratejik öncelikle görevlendirildiğini ve Kremlin tarafından büyük olasılıkla esnek bir güç aracı olarak görüldüğünü göstermektedir. hem kalıcı hem de yeni ortaya çıkan istihbarat gereksinimlerine hizmet ediyor.”