Polonya hükümet kurumları, Rusya bağlantılı bir ulus devlet aktörü tarafından düzenlenen büyük ölçekli bir kötü amaçlı yazılım kampanyasının parçası olarak hedef alındı. APT28.
Bilgisayar acil müdahale ekibi CERT Polska, “Kampanya, alıcının ilgisini çekmeyi ve onu bağlantıya tıklamaya ikna etmeyi amaçlayan içeriğe sahip e-postalar gönderdi” dedi. söz konusu Çarşamba bülteninde.
Bağlantıya tıklamak kurbanı run.mocky etki alanına yönlendirir[.]io, webhook adlı başka bir meşru siteye yönlendirmek için kullanılır[.]site, bir ücretsiz servis Bu, geliştiricilerin tespitten kaçınmak amacıyla bir web kancası yoluyla gönderilen verileri incelemesine olanak tanır.
Adım adımı webhook’tan bir ZIP arşiv dosyasının indirilmesini içerir[.]JPG resim dosyası (“IMG-238279780.jpg.exe”) gibi görünen Windows Hesap Makinesi ikili dosyasını, gizli bir toplu komut dosyası dosyasını ve başka bir gizli DLL dosyasını (“WindowsCodecs.dll”) içeren site.
Bir kurbanın uygulamayı çalıştırması durumunda, kötü amaçlı DLL dosyası, sonuçta toplu komut dosyasını çalıştırmak için DLL yandan yükleme adı verilen bir teknik aracılığıyla yandan yüklenir; “mayo giymiş gerçek bir kadının görüntüleri ve onun gerçek hesaplarına olan bağlantılar” Hileyi sürdürmek için sosyal medya platformları bir web tarayıcısında görüntüleniyor.
Toplu komut dosyası aynı anda webhook’tan bir JPG görüntüsünü (“IMG-238279780.jpg”) indirir[.]Daha sonra CMD komut dosyası (“IMG-238279780.cmd) olarak yeniden adlandırılan ve çalıştırılan site, ardından güvenliği ihlal edilen ana bilgisayar hakkında bilgi toplamak ve ayrıntıları geri göndermek için son aşama yükünü alır.
CERT Polska, saldırı zincirinin HeadLace adı verilen özel bir arka kapıyı yayan önceki kampanyayla benzerlikler taşıdığını söyledi.
Mocky ve webhook gibi meşru hizmetlerin kötüye kullanılması dikkat çekicidir[.]site, güvenlik yazılımı tarafından tespit edilmekten kaçınmak için ATP28 aktörleri tarafından defalarca benimsenen bir taktiktir.
“Kuruluşunuz yukarıda belirtilen hizmetleri kullanmıyorsa, yukarıda belirtilen alanları uç cihazlarda engellemeyi düşünmenizi öneririz” diye ekledi.
“Yukarıda belirtilen web sitelerini kullanıp kullanmadığınıza bakılmaksızın, webhook.site ve run.mocky.io’daki bağlantılar için e-postaları filtrelemenizi de öneririz, çünkü bunların e-posta içeriğinde meşru kullanım durumları çok nadirdir.”
Bu gelişme, NATO ülkelerinin Kremlin destekli grubu kendi siyasi varlıklarını, devlet kurumlarını ve kritik altyapılarını hedef alan uzun vadeli bir siber casusluk kampanyası yürütmekle suçlamasından birkaç gün sonra geldi.
APT28’in kötü amaçlı faaliyetleri, ilk olarak Trend Micro tarafından Şubat 2015’te Pawn Storm Operasyonu adlı bir kampanyayla bağlantılı olarak ayrıntılarıyla açıklanan XAgent casus yazılımıyla iOS cihazlarını hedef alacak şekilde genişledi.
Broadcom’un sahibi olduğu Symantec, “Öncelikle Batı Avrupa’daki siyasi kurumları ve hükümet kuruluşlarını hedef alan XAgent, uzaktan kontrol ve veri sızdırma yeteneklerine sahip” dedi. söz konusu.
“Kullanıcıların kişileri, mesajları, cihaz ayrıntıları, yüklü uygulamaları, ekran görüntüleri ve çağrı kayıtları hakkında bilgi toplayabilir. Bu veriler potansiyel olarak sosyal mühendislik veya hedef odaklı kimlik avı kampanyaları için kullanılabilir.”
APT28’in Polonya kuruluşlarına yönelik saldırılarına ilişkin haberler de aşağıdakileri takip ediyor: Mali amaçlı saldırılarda ani artış UAC-0006 gibi Rus e-suç grupları tarafından 2023’ün ikinci yarısında Ukrayna’yı hedef alırken, Rusya ve Beyaz Rusya’daki kuruluşlar “UAC-0006” olarak bilinen bir ulus devlet aktörü tarafından hedef alındı. Tatarcık hassas bilgileri yağmalayabilecek kötü amaçlı yazılım sunmak.