Rusya yanlısı bilgisayar korsanlığı grupları, ele geçirilen sistemlerden kimlik bilgilerini toplamak için tasarlanmış bir kimlik avı kampanyasının parçası olarak WinRAR arşivleme aracında yakın zamanda açıklanan bir güvenlik açığından yararlandı.
Cluster25, “Saldırı, 6.23’ten önceki WinRAR sıkıştırma yazılımı sürümlerini etkileyen ve yakın zamanda keşfedilen güvenlik açığından yararlanan ve CVE-2023-38831 olarak izlenen kötü amaçlı arşiv dosyalarının kullanımını içeriyor.” söz konusu Geçen hafta yayınlanan bir raporda.
Arşiv, tıklandığında saldırganın hedeflenen ana bilgisayara uzaktan erişmesini sağlayan bir ters kabuk açmak için PowerShell komutlarını başlatan bir Windows Batch komut dosyasının yürütülmesine neden olan bubi tuzaklı bir PDF dosyası içeriyor.
Ayrıca, Google Chrome ve Microsoft Edge tarayıcılarından oturum açma kimlik bilgileri de dahil olmak üzere verileri çalan bir PowerShell betiği de dağıtıldı. Yakalanan bilgiler meşru bir web hizmeti web kancası aracılığıyla sızdırılır[.]alan.
CVE-2023-38831, WinRAR’da, saldırganların ZIP arşivindeki zararsız bir dosyayı görüntülemeye çalıştıklarında rastgele kod çalıştırmasına olanak tanıyan yüksek önem derecesine sahip bir kusuru ifade eder. Group-IB’nin Ağustos 2023’teki bulguları, hatanın Nisan 2023’ten bu yana tüccarları hedef alan saldırılarda sıfır gün olarak silah haline getirildiğini ortaya çıkardı.
Geliştirme, Google’ın sahibi olduğu Mandiant olarak geliyor haritası çıkarılmış Rus ulus devlet aktörü APT29’un, temponun arttığı ve 2023’ün ilk yarısında Ukrayna’ya vurgu yapıldığı bir dönemde diplomatik kurumları hedef alan “hızla gelişen” kimlik avı operasyonları.
Şirket, APT29’un araçları ve ticari tekniğindeki önemli değişikliklerin “muhtemelen operasyonların artan sıklığını ve kapsamını desteklemek ve adli analizleri engellemek için tasarlandığını” ve “farklı operasyonlarda aynı anda çeşitli enfeksiyon zincirlerini kullandığını” söyledi.
Dikkate değer değişikliklerden bazıları, birinci aşama yükleri barındırmak için güvenliği ihlal edilmiş WordPress sitelerinin kullanılmasının yanı sıra ek gizleme ve anti-analiz bileşenlerini de içeriyor.
Bulut odaklı kullanımla da bağlantılı olan AT29, geçen yılın başlarında savaşın başlamasının ardından Ukrayna’yı öne çıkaran Rusya kaynaklı birçok faaliyet kümesinden biri.
Temmuz 2023’te Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), Turla’nın Capibar kötü amaçlı yazılımını ve Kazuar arka kapısını Ukrayna savunma varlıklarına yönelik casusluk saldırıları için kullanan saldırılara karıştığını ortaya çıkardı.
Trend Micro, “Turla grubu, uzun bir faaliyet geçmişine sahip inatçı bir düşmandır. Kökenleri, taktikleri ve hedefleri, hepsi yüksek vasıflı operatörlerle iyi finanse edilen bir operasyona işaret ediyor.” açıklandı yakın zamanda yayınlanan bir raporda. “Turla, araçlarını ve tekniklerini yıllar boyunca sürekli olarak geliştirdi ve muhtemelen bunları iyileştirmeye devam edecek.”
Ukrayna siber güvenlik kuruluşları da geçen ayki bir raporda, açıklığa kavuşmuş Kremlin destekli tehdit aktörlerinin, Ukrayna’nın Rus askerleri tarafından işlenen savaş suçlarına ilişkin soruşturmaları hakkında bilgi toplamak için yerel kolluk kuvvetlerini hedef aldığı belirtildi.
“2023 yılında en aktif gruplar UAC-0010 (Gamaredon/FSB), UAC-0056 (GRU), UAC-0028 (APT28/GRU), UAC-0082 (Kum kurdu/GRU), UAC-0144 / UAC-0024 / UAC-0003 (Turla), UAC-0029 (APT29/ SVR), UAC-0109 (Zarya), UAC-0100, UAC-0106 (XakNet), [and] UAC-0107 (Rusya Siber Ordusu),” Ukrayna Özel İletişim ve Bilgilerin Korunması Devlet Servisi (SSSCIP) söz konusu.
CERT-UA, 2023’ün ilk yarısında 27 “kritik” siber olay kaydetti; bu sayı 2022’nin ikinci yarısındaki 144 ve 2022’nin ilk yarısındaki 319’du. Toplamda, operasyonları etkileyen yıkıcı siber saldırıların sayısı 518’den 267’ye düştü.
