olarak bilinen Rus siber casusluk grubu. Turla Ukrayna’daki hedeflere kendi keşif ve arka kapı araçlarını teslim etmek için on yıllık bir kötü amaçlı yazılım tarafından kullanılan saldırı altyapısına bindirildiği gözlemlendi.
Operasyonu kategorize edilmemiş küme adı altında izleyen, Google’a ait Mandiant UNC4210ele geçirilen sunucuların, 2013 yılında VirusTotal’a yüklenen ANDROMEDA (namı diğer Gamarue) adlı ticari bir kötü amaçlı yazılımın bir çeşidine karşılık geldiğini söyledi.
Mandiant araştırmacıları, “UNC4210, süresi dolmuş en az üç ANDROMEDA komuta ve kontrol (C2) alanını yeniden kaydetti ve kurbanların profillerini seçerek KOPILUWAK ve QUIETCANARY’yi Eylül 2022’de dağıtmaya başladı.” dedim geçen hafta yayınlanan bir analizde.
Demir Avcısı, Krypton, Uroburos, Venomous Bear ve Waterbug adlarıyla da bilinen Turla, çok sayıda özel kötü amaçlı yazılım kullanarak öncelikle hükümet, diplomatik ve askeri kuruluşları hedef alan seçkin bir ulus-devlet birliğidir.
Rusya’nın Şubat 2022’de Ukrayna’ya yönelik askeri işgalinin başlamasından bu yana, hasım kolektif, ülkede bulunan varlıkları hedef alan bir dizi kimlik bilgisi oltalama ve keşif çabalarıyla ilişkilendirildi.
Temmuz 2022’de Google’ın Tehdit Analizi Grubu (TAG), Turla’nın Ukrayna yanlısı bilgisayar korsanlarının Rus sitelerine dağıtılmış hizmet reddi (DDoS) saldırıları başlatmasına “yardımcı” olduğu varsayılan kötü amaçlı bir Android uygulaması oluşturduğunu ortaya çıkardı.
Mandiant’ın son keşfi, Turla’nın kötü amaçlı yazılım dağıtım mekanizması olarak eski virüsleri gizlice kullandığını ve ANDROMEDA’nın virüslü USB anahtarları aracılığıyla yayılması gerçeğinden faydalandığını gösteriyor.
Tehdit istihbaratı firması, “USB yayan kötü amaçlı yazılım, kuruluşlara ilk erişim sağlamak için yararlı bir vektör olmaya devam ediyor” dedi.
Mandiant tarafından analiz edilen olayda, Aralık 2021’de adı açıklanmayan bir Ukraynalı kuruluşa virüslü bir USB belleğin yerleştirildiği ve sonuçta bir USB belleğin konuşlandırılmasına yol açtığı söyleniyor. eski ANDROMEDA eseri USB sürücü içinde bir klasör kılığına giren kötü amaçlı bir bağlantı (.LNK) dosyası başlatıldıktan sonra ana bilgisayarda.
Ardından tehdit aktörü, ilk aşamayı sunarak kurbanın profilini çıkarmak için ANDROMEDA’nın Ocak 2022’de yeniden kaydettirdiği feshedilmiş C2 altyapısının bir parçası olan atıl alanlardan birini yeniden kullandı. KOPILUWAK dropper, JavaScript tabanlı bir ağ keşif aracı.
İki gün sonra, 8 Eylül 2022’de, QUIETCANARY (aka Tunnus), 1 Ocak 2021’den sonra oluşturulan dosyaların dışarı sızmasına neden olur.
Turla’nın kullandığı zanaat, grubun Rus-Ukrayna savaşıyla aynı zamana denk gelen kapsamlı kurban profili çıkarma çabalarına ilişkin önceki raporlarla örtüşüyor ve potansiyel olarak grubun, Rusya’yı ilgilendiren bilgileri toplamak için devam eden istismar çabalarını uyarlamasına yardımcı oluyor.
Aynı zamanda, kendi stratejik hedeflerini gerçekleştirmek için farklı bir kötü amaçlı yazılım kampanyasının kurbanlarını hedef alan ve aynı zamanda rolünü gizleyen bir bilgisayar korsanlığı biriminin belirlendiği ender örneklerden biridir.
Araştırmacılar, “Eski ANDROMEDA kötü amaçlı yazılımı, güvenliği ihlal edilmiş USB cihazlarından yayılmaya devam ettikçe, bu yeniden kaydedilen alanlar, yeni tehdit aktörleri kontrolü ele geçirip kurbanlara yeni kötü amaçlı yazılımlar sunabileceği için risk oluşturuyor” dedi.
“Geniş çapta dağıtılan, mali amaçlı kötü amaçlı yazılımlar tarafından kullanılan, süresi dolmuş etki alanlarını talep etmeye yönelik bu yeni teknik, çok çeşitli varlıklarda devam eden uzlaşmalara olanak sağlayabilir. Ayrıca, daha eski kötü amaçlı yazılımların ve altyapının, çok çeşitli uyarıları tetikleyen savunucular tarafından gözden kaçma olasılığı daha yüksek olabilir. .”
COLDRIVER, ABD Nükleer Araştırma Laboratuvarlarını Hedefliyor
Bulgular Reuters olarak da geliyor bildirildi COLDRIVER (namı diğer Callisto veya SEABORGIUM) kod adlı Rus devlet destekli başka bir tehdit grubunun 2022’nin başlarında ABD’deki üç nükleer araştırma laboratuvarını hedef aldığını.
Bu amaçla, dijital saldırılar, nükleer bilim adamlarını şifrelerini ifşa etmeleri için kandırmak amacıyla Brookhaven, Argonne ve Lawrence Livermore Ulusal Laboratuvarları için sahte oturum açma sayfaları oluşturmayı gerektirdi.
Taktikler, son zamanlarda İngiltere ve ABD’deki savunma ve istihbarat danışmanlık şirketlerinin yanı sıra STK’ların, düşünce kuruluşlarının ve yüksek öğrenim kurumlarının oturum açma sayfalarını taklit ederek maskesini düşüren bilinen COLDRIVER etkinliğiyle tutarlıdır.
