Rusya’ya bağlı Sandworm, başka bir silici kötü amaçlı yazılım türünü kullandı. NikoSilecek Ekim 2022’de Ukrayna’da bir enerji sektörü şirketini hedef alan saldırının bir parçası olarak.
“NikoWiper, Sildosyaları güvenli bir şekilde silmek için kullanılan Microsoft’tan bir komut satırı yardımcı programı,” siber güvenlik şirketi ESET meydana çıkarmak The Hacker News ile paylaşılan en son APT Etkinlik Raporunda.
Slovak siber güvenlik firması, saldırıların aynı zamana denk geldiğini söyledi. füze saldırıları Ukrayna enerji altyapısını hedef alan Rus silahlı kuvvetleri tarafından düzenlenmiş, bu da hedeflerin örtüştüğünü gösteriyor.
Açıklama, ESET’in Sandworm’u SwiftSlicer olarak bilinen ve 25 Ocak 2023’te isimsiz bir Ukrayna kuruluşuna dağıtılan Golang tabanlı bir veri siliciyle ilişkilendirmesinden yalnızca birkaç gün sonra geldi.
Rusya’nın yabancı askeri istihbarat teşkilatı GRU ile bağlantılı gelişmiş kalıcı tehdit (APT) grubu, ulusal haber ajansı Ukrinform’u hedef alan ve güvenliği ihlal edilmiş makinelere beş adede kadar farklı silici yerleştiren kısmen başarılı bir saldırıda yer aldı.
Ukrayna Bilgisayar Acil Müdahale Ekibi (CERT-UA), beş silecek çeşidini CaddyWiper, ZeroWipe, SDelete, AwfulShred ve BidSwipe olarak tanımladı. Bunlardan ilk üçü Windows sistemlerini hedef alırken, AwfulShred ve BidSwipe Linux ve FreeBSD sistemlerini hedef aldı.
Sandworm’un Ukrayna’daki hedeflenen kuruluşlara geri dönülmez hasara neden olmak için en az iki farklı durumda bir silici olarak yardımcı programı denediğini öne sürdüğü için SDelete’nin kullanımı dikkate değerdir.
Bununla birlikte, ESET’in kıdemli kötü amaçlı yazılım araştırmacısı Robert Lipovsky The Hacker News’e “NikoWiper farklı bir kötü amaçlı yazılımdır” dedi.
Sandworm’un son kampanyaları, SDelete’i silahlandırmanın yanı sıra, kurban verilerini herhangi bir kurtarma seçeneği olmadan şifreleme engellerinin arkasına kilitlemek için Prestige ve RansomBoggs dahil olmak üzere ısmarlama fidye yazılımı ailelerinden de yararlandı.
Çabalar, yıkıcı silecek kötü amaçlı yazılım kullanımının arttığının ve Rus bilgisayar korsanlığı ekipleri arasında tercih edilen bir siber silah olarak giderek daha fazla benimsendiğinin en son göstergesidir.
BlackBerry’den Dmitry Bestuzhev The Hacker News’e yaptığı açıklamada, “Silecekler, hedeflenen silahlar oldukları için yaygın olarak kullanılmadı.” “Sandworm, açıkça Ukrayna için kullanılan siliciler ve fidye yazılımı aileleri geliştirmek için aktif olarak çalışıyor.”
APT29, Callisto ve Gamaredon gibi diğer Rus devlet destekli kuruluşlar, arka kapı erişimini ve kimlik bilgileri hırsızlığını kolaylaştırmak için tasarlanmış hedef odaklı kimlik avı kampanyaları yoluyla Ukrayna altyapısını felce uğratmak için paralel çabalar yürüttüğü için, bu sadece Sandworm değil.
APT29’u (namı diğer Nobelium) BlueBravo takma adı altında izleyen Recorded Future’a göre, APT, muhtemelen GraphicalNeutrino kod adlı bir kötü amaçlı yazılım yükleyiciyi teslim etmek için yem olarak kullanılan, tehlikeye atılmış yeni bir altyapıya bağlandı.
Ana işlevi devam eden kötü amaçlı yazılımları dağıtmak olan yükleyici, Notion’ın komut ve kontrol (C2) iletişimleri için API’sini ve platformun kurban bilgilerini depolamak ve indirilmek üzere yükleri hazırlamak için veritabanı özelliğini kötüye kullanır.
Şirket, “Ukrayna kriziyle bağlantısı olan herhangi bir ülke, özellikle de Rusya veya Ukrayna ile önemli jeopolitik, ekonomik veya askeri ilişkileri olan ülkeler, hedef alma riskiyle karşı karşıya” dedi. dedim geçen hafta yayınlanan bir teknik raporda.
Meşru bir not alma uygulaması olan Notion’a geçiş, APT29’un kötü amaçlı yazılım trafiğini birleştirmek ve algılamayı atlatmak için Dropbox, Google Drive ve Trello gibi popüler yazılım hizmetlerini “genişleyen ancak sürekli kullanımının” altını çiziyor.
İkinci aşama kötü amaçlı yazılım tespit edilmemesine rağmen, Ekim 2022’de kötü amaçlı yazılımın bir örneğini de bulan ESET, bunun “Cobalt Strike’ı getirmeyi ve yürütmeyi amaçladığını” teorize etti.
Bulgular ayrıca Rusya’nın hemen ardından geliyor belirten 2022’de Batı’nın “eşgüdümlü saldırganlığının” hedefi olduğunu ve “istihbarat teşkilatlarından, ulusötesi BT şirketlerinden ve bilgisayar korsanlarından” “benzeri görülmemiş dış siber saldırılarla” karşı karşıya kaldığını söyledi.
Rus-Ukrayna savaşı resmen on ikinci ayına girerken, çatışmanın siber alemde nasıl ilerleyeceği henüz belli değil.
Lipovsky, “Geçen yıl boyunca, işgalden sonraki ilkbaharda, sonbaharda ve yazın daha sakin aylarda olduğu gibi, artan aktivite dalgaları gördük, ancak genel olarak neredeyse sürekli bir saldırı akışı oldu.” Dedi. “Bu yüzden emin olabileceğimiz bir şey daha fazla siber saldırı göreceğimizdir.”
