Ukrayna ve Polonya’daki devlet kurumları, askeri kuruluşlar ve sivil kullanıcılar, hassas verileri çalmak ve virüslü sistemlere kalıcı uzaktan erişim elde etmek için tasarlanmış bir dizi kampanyanın parçası olarak hedef alındı.
Nisan 2022’den Temmuz 2023’e kadar uzanan izinsiz giriş seti, Cobalt Strike Beacon ve njRAT’ı başlatmak için bir kanal görevi gören PicassoLoader adlı bir indirici kötü amaçlı yazılımı dağıtmak için kimlik avı tuzaklarından ve sahte belgelerden yararlanıyor.
Cisco Talos araştırmacısı Vanja Svajcer, “Saldırılar, en yaygın olarak Microsoft Excel ve PowerPoint dosya biçimlerini kullanan, kötü amaçlı Microsoft Office belgeleriyle başlatılan çok aşamalı bir bulaşma zinciri kullandı.” söz konusu yeni bir raporda. “Bunu, yürütülebilir bir indirici ve bir görüntü dosyasına gizlenmiş yük izledi, bu da muhtemelen tespitini zorlaştırır.”
Bazı arasında etkinlikler öncelikleri Belarus hükümeti ile uyumlu olduğu söylenen GhostWriter (namı diğer UAC-0057 veya UNC1151) adlı bir tehdit aktörüne atfedildi.
Bu saldırıların bir alt kümesinin geçen yıl içinde Ukrayna’nın Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) ve Fortinet FortiGuard Labs tarafından belgelendiğini belirtmekte fayda var; bunlardan biri Temmuz 2022’de Ajan Tesla kötü amaçlı yazılımını dağıtmak için makro yüklü PowerPoint belgeleri kullandı .
Virüs bulaşma zincirleri, kurbanları makroları etkinleştirmeye ikna etmeyi amaçlar; VBA makrosu, PicassoLoader olarak bilinen bir DLL indiricisini bırakmak üzere tasarlanmıştır ve daha sonra bir sonraki aşama yükünü, son dosyayı yerleştiren meşru bir görüntü dosyasını getirmek için saldırganın kontrolündeki bir siteye ulaşır. kötü amaçlı yazılım.
Açıklama, CERT-UA’nın ayrıntılı bir açıklaması olarak gelir. sayı ile ilgili e-dolandırıcılık operasyonlar SmokeLoader kötü amaçlı yazılımının yanı sıra bir ezici saldırı hedeflerin Telegram hesaplarının yetkisiz kontrolünü ele geçirmek için tasarlanmıştır.
Geçen ay, CERT-UA bir siber casusluk kampanyası dosyaları dağıtmak için e-posta ve anlık ileti programlarından yararlanan Ukrayna’daki devlet kuruluşlarını ve medya temsilcilerini hedefliyor. ) yükler.
İçeriden Gelen Tehditlere Karşı Kalkan: SaaS Güvenlik Duruş Yönetiminde Ustalaşın
İçeriden gelen tehditler konusunda endişeli misiniz? Seni koruduk! SaaS Güvenlik Duruş Yönetimi ile pratik stratejileri ve proaktif güvenliğin sırlarını keşfetmek için bu web seminerine katılın.
GhostWriter, gözlerini Ukrayna’ya dikmiş birçok tehdit aktöründen biridir. Buna, Rus ulus-devlet grubu APT28 de dahildir. gözlenen alıcılardan UKR.NET ve Yahoo! sonunda kimlik bilgilerini çalan sahte açılış sayfalarına yönlendirmek için hesaplarında tespit edilen şüpheli etkinlik nedeniyle şifreler.
Gelişme ayrıca, Rus askeri istihbaratı (GRU) ile bağlantılı bilgisayar korsanlarının, saldırılarının “hızını, ölçeğini ve yoğunluğunu artırmak için kasıtlı bir çabayla” Ukrayna’ya yönelik yıkıcı operasyonlarında “standart beş aşamalı bir oyun kitabı” benimsemesini de takip ediyor. .
Bu, ilk erişimi elde etmek için uçta yaşama altyapısından yararlanmayı, kötü amaçlı yazılım ayak izlerini sınırlamak ve tespit edilmekten kaçınmak için keşif, yanal hareket ve bilgi hırsızlığı yapmak için karada yaşama tekniklerini kullanmayı, kalıcı, ayrıcalıklı erişim oluşturmayı içerir. grup ilkesi nesneleri (GPO) aracılığıyla, silicileri konuşlandırarak ve eylemlerini Telegram’daki hacktivist kişiler aracılığıyla telgrafla göndererek.
Google’ın sahibi olduğu Mandiant, “Başucu kitabının sağladığı faydalar, özellikle hızlı tempolu ve oldukça çekişmeli bir işletim ortamı için uygundur, bu da Rusya’nın savaş zamanı hedeflerinin büyük olasılıkla GRU’nun seçtiği taktiksel eylem yollarına rehberlik ettiğini gösteriyor.” söz konusu.
