Bir tehdit aktörü, Rusya’nın saldırılarıyla ilgili kuruluşların güvenliğini ihlal etmek için katmanlı enfeksiyon zincirleri kullanıyor Havacılık endüstrisi.
“Yapışkan Kurtadam” olarak bilinen gelişmiş kalıcı tehdit (APT), en az Nisan 2023’ten beri ortalıkta dolaşıyor ve Rusya ile Ukrayna arasındaki çatışmayla ilgili casuslukla ilgileniyor gibi görünüyor. Erken raporlama Grubun Rusya ve Belarus’taki kamu kuruluşlarını hedef aldığını ancak son hedefler arasında mikrobiyoloji ve aşı geliştirmeyle ilgilenen bir ilaç şirketi ile bir Rus araştırma enstitüsünün yer aldığını belirtti.
Son zamanlarda, bu baharın başındaki hedefli saldırılarda, grubun dikkatini havacılık ve savunmaya çevirdiği ortaya çıktı. bu hafta başındaki blog yazısı Morphisec’ten. Bulaşma yöntemleri de yükseltildi ve artık sonunda yaygın uzaktan erişim kötü amaçlı yazılımlarının yer aldığı uzun bir dosya ve komut dosyası zinciri yer alıyor.
” Siber suçlular için havacılığın çekiciliği Ve ulus devlet aktörleri Symmetry Systems’in baş misyoneri Claude Mandy şöyle diyor: “Bir çatışmada, özel uçaklar ve pilotlar hem stratejik varlıklar ve hedefler hem de askeri kullanıma hazırlandığında potansiyel istihbarat kaynakları olabilir. Sonra fikri mülkiyet altın madeni ve onu ticari nedenlerden dolayı koruma ihtiyacı var.”
Kurtadam Uçaklara Karşı
Önceki kampanyalarda Yapışkan Kurtadam kimlik avı e-postaları, kötü amaçlı dosyaları indirmeye yönelik bağlantılar içeriyordu. Artık enfeksiyonları oldukça daha karmaşık.
En son e-postalarının, Moskova merkezli bir uçak ve uzay aracı şirketi olan AO OKB Kristall’in ilk genel müdür yardımcısından geldiği iddia ediliyor. Ekli bir arşiv dosyası, önümüzdeki yıl için “uzun vadeli işbirliği sorunları” üzerine yapılacak bir video konferansa atıfta bulunan bir PDF belgesini açıyor. “Yönetici”, alıcılardan katılmalarını ve isimler, pozisyonlar ve e-posta adresleri dahil kişisel bilgileri sağlamalarını ister.
PDF, yine bu arşivde bulunan iki LNK dosyasının tamamlayıcısıdır. Bir dağıtım listesi ve toplantı gündemi gibi görünen bu dosyalar, kullanıcıya sahte bir hata mesajı sunarken aynı zamanda kalıcılığı sağlamak için bir Windows kayıt defteri girdisi oluşturuyor ve ardından bir WebDAV sunucusundan yürütülebilir bir dosya indiriyor.
Yürütülebilir dosya, eskimiş ve büyük ölçüde artık kullanılmayan CypherIT kriptolayıcısının bir çeşididir. Bu dosya, diğer şeylerin yanı sıra, dosyaları değiştiren, güvenlik yazılımlarını (Norton, Sophos, AVG ve Webroot) arayan ve bir AutoIT yürütülebilir dosyasını bırakan bir toplu komut dosyası bırakır. AutoIT betiğinin görevi, anti-analiz ve anti-emülasyonu, makinede daha fazla kalıcılık sağlamayı ve son yükü düşürmeyi içerir.
Nihai yük, bir tür ticari uzaktan erişim Truva atı (RAT) olacaktır. Rhadamanthys Hırsızı veya Ozon RAT. Daha eski Yapışkan Kurtadam kampanyaları MetaStealer, DarkTrack ve NetWire. Bunlardan herhangi biri casusluğu ve veri sızmasını kolaylaştıracaktır ve Yapışkan Kurt Adam’ın bu amaca yönelik faaliyetlerinin doğası, Ukrayna’nın çıkarlarını desteklemek amacıyla faaliyet gösterdiğini göstermektedir.
Mandy, “Bunun gibi saldırganlar kimlik bilgilerini, askeri yüzeyde hazırlanan ticari pilotlara ilişkin stratejik bilgileri veya milyar dolarlık tasarımları çalabilir” diye açıklıyor. “Bu saldırılar, başarılı bir sosyal mühendislik saldırısının ne kadar basit olabileceğini gösteriyor. Özel kimlik avı e-postaları, sonunda birilerini uzaktan erişim Truva atı yüklemesi için kandıracaktır.”