“Benzeri görülmemiş” bir bükülme olarak tanımlanan şeyde, TrickBot kötü amaçlı yazılımının operatörleri, 2022 yılının sonlarında savaşın başlamasından bu yana Ukrayna’yı sistematik olarak hedef almaya başvurdu.
Grubun, IcedID, CobaltStrike, AnchorMail ve IcedID, CobaltStrike, AnchorMail ve e-postalar gibi kötü amaçlı yazılımları dağıtmak için cazibe görevi gören Rus devletinin çıkarlarıyla uyumlu hedeflere yönelik en az altı kimlik avı kampanyası düzenlediğine inanılıyor. metercüman.
ITG23, Gold Blackburn ve Wizard Spider adları altında takip edilen finansal motivasyonlu siber suç çetesi, TrickBot bankacılık truva atını geliştirmesiyle biliniyor ve bu yılın başlarında artık durdurulan Conti fidye yazılımı kartelinin kapsamına alındı.
Ancak sadece haftalar sonra, grupla bağlantılı aktörler, filmin yenilenmiş bir versiyonuyla yeniden ortaya çıktı. AnchorDNS Komut ve kontrol iletişimi için SMTPS ve IMAP protokollerini kullanan AnchorMail adlı arka kapı.
IBM Security X-Force analisti Ole, “ITG23’ün Ukrayna’ya karşı kampanyaları, bu etkinliğin tarihsel emsalden ne ölçüde farklı olduğu ve bu kampanyaların özellikle Ukrayna’yı hedef alması ve daha yüksek derecede hedef seçimi öneren bazı yüklerle birlikte görünmesi nedeniyle dikkate değerdir.” Villadsen söz konusu teknik bir raporda.
Kampanyalarda göze çarpan bir değişiklik, daha önce hiç görülmemiş Microsoft Excel indiricilerinin kullanımını ve CobaltStrike, Meterpreter ve AnchorMail’in birinci aşama yükleri olarak dağıtımını içeriyor. Saldırıların 2022 Nisan ayının ortalarında başladığı söyleniyor.
İlginç bir şekilde, tehdit aktörü, iki ay sonra APT28 olarak izlenen Rus ulus-devlet grubu tarafından Ukrayna’da veri çalan kötü amaçlı yazılımları yaymak için tekrarlanacak bir taktik olan AnchorMail implantını yaymak için e-posta hilesinde nükleer savaş hayaletinden yararlandı.
Dahası, Mayıs 2022 kampanyasının bir parçası olarak dağıtılan Cobalt Strike örneği, algılamadan kaçınmak için Forest adlı yeni bir şifreleyici kullandı. TrickBot çetesi tarafından.
Villadsen, “Bu yıl Rusça konuşan siber suç ekosisteminde ideolojik bölünmeler ve bağlılıklar giderek daha belirgin hale geldi” dedi. “Bu kampanyalar, Ukrayna’nın önde gelen Rus siber suçlu gruplarının hedefinde olduğuna dair kanıt sağlıyor.”
Gelişme, Ukrayna medyasının Hedeflenen ile birlikte kimlik avı mesajları DarkCrystal RAT’ı güvenliği ihlal edilmiş sistemlere bırakmak için Follina güvenlik açığından yararlanan kötü amaçlı yazılım yüklü belgeler içerir.
Ukrayna Bilgisayar Acil Müdahale Ekibi (CERT-UA) ayrıca uyardı UAC-0056 adlı bir grup tarafından gerçekleştirilen ve devlet kuruluşlarına personel temini temalı yemlerle saldıran ve ana bilgisayarlara Kobalt Saldırı İşaretçileri düşürmek için yapılan saldırılar.
Ajans, geçen ay daha işaret etti kod adlı Çin merkezli bir aktör tarafından Royal Road RTF silahlandırıcısının kullanılması Tonto Takımı (aka Karma Panda) ile Rusya’da bulunan bilimsel ve teknik işletmeleri ve devlet kurumlarını hedef alacak. bizal kötü amaçlı yazılım.
Bu saldırıları orta düzeyde güvenle gelişmiş kalıcı tehdit (APT) grubuna bağlayan SentinelOne söz konusu Bulgular göstermek Çin istihbarat aygıtının geniş bir yelpazedeki Rus bağlantılı örgütleri hedef almak için “sürekli çabası”.