Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), devlet kurumlarını, işletmelerini ve askeri kuruluşları hedef alan yeni bir kötü amaçlı e-posta kampanyasının ayrıntılarını açıkladı.
CERT-UA, “Mesajlar, Amazon veya Microsoft gibi popüler hizmetleri entegre etmenin ve sıfır güven mimarisini uygulamanın çekiciliğinden yararlanıyor.” söz konusu. “Bu e-postalar Uzak Masaüstü Protokolü (‘.rdp’) yapılandırma dosyaları biçiminde ekler içeriyor.”
RDP dosyaları yürütüldükten sonra uzak bir sunucuyla bağlantı kurarak tehdit aktörlerinin ele geçirilen ana bilgisayarlara uzaktan erişmesine, verileri çalmasına ve sonraki saldırılar için ek kötü amaçlı yazılım yerleştirmesine olanak tanır.
Faaliyete yönelik altyapı hazırlıklarının en az Ağustos 2024’ten bu yana devam ettiğine inanılıyor ve ajans, bunun Ukrayna’dan çıkıp diğer ülkeleri hedef almasının muhtemel olduğunu belirtiyor.
CERT-UA, kampanyayı UAC-0215 olarak takip ettiği bir tehdit aktörüne bağladı. Amazon Web Service (AWS), kendi tavsiye belgesinde onu APT29 olarak bilinen Rus ulus-devlet bilgisayar korsanlığı grubuyla ilişkilendirdi.
Amazon’un baş bilgi sorumlusu CJ Moses, “Kullandıkları alan adlarından bazıları, etki alanlarının AWS alanları olduğuna inandırmak için hedefleri kandırmaya çalıştı (değillerdi), ancak hedef Amazon değildi ve AWS müşteri kimlik bilgilerini takip eden grup da değildi.” güvenlik görevlisi, söz konusu. “Bunun yerine APT29, Microsoft Uzak Masaüstü aracılığıyla hedeflerinin Windows kimlik bilgilerini aradı.”
Teknoloji devi, düşmanın operasyonu etkisiz hale getirmek amacıyla AWS’yi taklit etmek için kullandığı alan adlarını da ele geçirdiğini söyledi. APT29’un kullandığı alan adlarından bazıları aşağıda listelenmiştir:
- ca-west-1.mfa-gov[.]bulut
- merkezi-2-aws.ua-aws[.]ordu
- us-east-2-aws.ua-gov[.]bulut
- s3-aws[.]bulut
- s3-fbi[.]bulut
- s3-nsa[.]bulut ve
- s3-kanıt noktası[.]bulut
aws-ukrayna[.]bulut
aws-verileri[.]bulut
aws-s3[.]bulut
vay be[.]bulut
aws-katılım[.]bulut
tanışıyoruz[.]bulut
aws-toplantıları[.]bulut
aws-çevrimiçi[.]bulut
güvenli değil[.]bulut
Bu gelişme, CERT-UA’nın Ukraynalı kullanıcıların gizli bilgilerini çalmayı amaçlayan büyük ölçekli bir siber saldırı konusunda da uyarıda bulunmasının ardından geldi. Tehdit UAC-0218 adı altında kataloglandı.
Saldırının başlangıç noktası, fatura veya ödeme ayrıntıları olduğu iddia edilen, bubi tuzaklı bir RAR arşivine bağlantı içeren bir kimlik avı e-postasıdır.
Arşivde, belirli uzantılarla eşleşen dosyaları (“xls”, “xlsx”, “doc”, “docx”, “pdf”, “txt”, “csv, ” “rtf”, “ods”, “odt”, “eml”, “pst”, “rar” ve “zip”) saldırganın kontrol ettiği bir sunucuya aktarın.
CERT-UA, “Bu şekilde suçlular kişisel, mali ve diğer hassas verilere erişebilir ve bunları şantaj veya hırsızlık için kullanabilir.” söz konusu.
Ayrıca, CERT-UA’nın uyarıldı Kullanıcıları, bir SSH tüneli kurabilen, web tarayıcılarından veri çalabilen ve Metasploit sızma testi çerçevesini indirip başlatabilen bir PowerShell betiğini bırakmak üzere e-posta mesajlarına gömülü kötü amaçlı bağlantılara yönlendirmek üzere tasarlanmış ClickFix tarzı bir kampanyanın.
Bağlantıya tıklayan kullanıcılar, bir düğmeye tıklayarak kimliklerini doğrulamalarını isteyen sahte bir reCAPTCHA doğrulama sayfasına yönlendiriliyor. Bu eylem, kötü amaçlı PowerShell komut dosyasını (“Browser.ps1”) kullanıcının panosuna kopyalar ve Windows’taki Çalıştır iletişim kutusunu kullanarak komut dosyasını çalıştırma talimatlarını içeren bir açılır pencere görüntüler.
CERT-UA, kampanyanın APT28 (diğer adıyla UAC-0001) olarak bilinen başka bir Rus ileri düzey kalıcı tehdit aktörünün işi olduğuna dair “ortalama düzeyde güvene” sahip olduğunu söyledi.
Ukrayna’ya yönelik siber saldırılar, rapor Bloomberg’den, Rusya’nın askeri istihbarat teşkilatı ve Federal Güvenlik Servisi’nin (FSB), 2017 ile 2020 yılları arasındaki bir dizi dijital izinsiz girişin parçası olarak Gürcistan’ın altyapısını ve hükümetini sistematik olarak nasıl hedef aldığını ayrıntılarıyla anlatan bir rapor. Saldırılardan bazıları Turla’ya yönelikti.