Ukrayna ve Doğu Avrupa’daki savunma sektörü, adı verilen yeni bir .NET tabanlı arka kapı tarafından hedef alındı. Teslimat Kontrolü (namı diğer CAPIBAR veya GAMEDAY), sonraki aşama yüklerini sağlama yeteneğine sahiptir.
Microsoft tehdit istihbarat ekibi, işbirliği Ukrayna Bilgisayar Acil Müdahale Ekibi (CERT-UA) ile birlikte, saldırıları Demir Avcısı, Gizli Kar Fırtınası (eski adıyla Kripton), Uroburos, Zehirli Ayı ve Su Böceği adlarıyla da izlenen Turla olarak bilinen bir Rus ulus devlet aktörüne bağladı. Rusya’nın Federal Güvenlik Servisi’ne (FSB) bağlı.
Şirket, “DeliveryCheck, e-posta yoluyla kötü amaçlı makrolar içeren belgeler olarak dağıtılıyor” dedi. söz konusu bir dizi tweet’te. “Onu indiren ve bellekte başlatan zamanlanmış bir görev aracılığıyla devam eder. Ayrıca, XSLT stil sayfalarına gömülü rastgele yüklerin başlatılmasını içerebilen görevleri almak için bir C2 sunucusuyla bağlantı kurar.”
Başarılı ilk erişime, bazı durumlarda, uygulama yapılandırma dosyalarını, olay günlüklerini ve web tarayıcılarından çok çeşitli verileri çalmak üzere donatılmış Kazuar adlı bilinen bir Turla implantının dağıtımı da eşlik eder.
Saldırıların nihai amacı, Windows için Signal mesajlaşma uygulamasından mesajları sızdırarak, saldırganın hedeflenen sistemlerdeki hassas konuşmalara, belgelere ve görüntülere erişmesini sağlamaktır.
DeliveryCheck’in dikkate değer bir yönü, PowerShell İstenen Durum Yapılandırması’nı (DSC), yöneticilerin Windows sistemlerinin yapılandırmasını otomatikleştirmesine yardımcı olan bir PowerShell yönetim platformu.
“DSC, bir Yönetilen Nesne Biçimi (MOF) katıştırılmış .NET yükünü belleğe yükleyen ve yasal bir sunucuyu etkili bir şekilde kötü amaçlı bir C2 merkezine dönüştüren bir PowerShell betiği içeren dosya” diye açıkladı Microsoft.
İçeriden Gelen Tehditlere Karşı Kalkan: SaaS Güvenlik Duruş Yönetiminde Ustalaşın
İçeriden gelen tehditler konusunda endişeli misiniz? Seni koruduk! SaaS Güvenlik Duruş Yönetimi ile pratik stratejileri ve proaktif güvenliğin sırlarını keşfetmek için bu web seminerine katılın.
Açıklama Ukrayna Siber Polisi olarak geliyor sökülmüş Rus işgalini meşrulaştıran düşmanca propaganda yaydığı, Ukrayna vatandaşlarına ait kişisel bilgileri sızdırdığı ve çeşitli dolandırıcılık planlarına karıştığı iddia edilen 100’den fazla kişinin bulunduğu devasa bir robot çiftliği.
Operasyon kapsamında 21 noktada yapılan aramalarda bilgisayar donanımı, cep telefonu, 250’den fazla GSM ağ geçidi ve farklı mobil operatörlere ait yaklaşık 150 bin SIM kart ele geçirildi.
