Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), SickSync adlı casusluk kampanyasının bir parçası olarak SPECTR adlı kötü amaçlı yazılımla ülkedeki savunma güçlerini hedef alan siber saldırılar konusunda uyardı.
Ajans atfedilen UAC-0020 adı altında takip ettiği, Vermin olarak da adlandırılan ve Luhansk Halk Cumhuriyeti’nin (LPR) güvenlik teşkilatlarıyla ilişkili olduğu değerlendirilen bir tehdit aktörüne yönelik saldırılar. LPR şuydu: beyan Şubat 2022’de Ukrayna’nın askeri işgalinden günler önce Rusya tarafından egemen bir devlet.
Saldırı zincirleri, sahte bir PDF dosyası içeren RAR kendi kendine açılan bir arşiv dosyası, SPECTR yükünü içeren SyncThing uygulamasının truva atı haline getirilmiş bir sürümü ve yürütülebilir dosyayı başlatarak bulaşmayı etkinleştiren bir toplu komut dosyası içeren hedef odaklı kimlik avı e-postalarıyla başlar.
SPECTR, her 10 saniyede bir ekran görüntüsü alarak, dosyaları toplayarak, çıkarılabilir USB sürücülerden veri toplayarak ve web tarayıcılarından ve Element, Signal, Skype ve Telegram gibi uygulamalardan kimlik bilgilerini çalarak bir bilgi hırsızı olarak hizmet eder.
“Aynı zamanda, bilgisayardan çalınan belgeleri, dosyaları, şifreleri ve diğer bilgileri yüklemek için meşru SyncThing yazılımının standart senkronizasyon işlevi kullanıldı; bu, diğer şeylerin yanı sıra eşler arası bağlantının kurulmasını da destekliyor bilgisayarlar arasında” dedi CERT-UA.
SickSync şunları işaretler: geri dönmek Daha önce gözlemlenen uzun süreli bir yokluğun ardından Vermin grubunun Kimlik avı kampanyaları düzenlemek Ukrayna’nın devlet kurumlarının Mart 2022’de SPECTR kötü amaçlı yazılımını dağıtmasını hedefliyor. SPECTR’in aktör tarafından 2019’dan beri kullanıldığı biliniyor.
Vermin aynı zamanda yaklaşık sekiz yıldır çeşitli Ukrayna devlet kurumlarını hedeflemek için kullanılan bir .NET uzaktan erişim truva atına da verilen addır. Bu ilkti kamuya açıklanmış Ocak 2018’de Palo Alto Networks Birim 42 tarafından analiz ESET’in saldırgan faaliyetlerini Ekim 2015’e kadar takip etmesi.
Açıklama, CERT-UA’nın, DarkCrystal RAT (diğer adıyla DCRat) adı verilen uzaktan erişim truva atını dağıtmak için Signal anlık mesajlaşma uygulamasını bir dağıtım vektörü olarak kullanan sosyal mühendislik saldırıları konusunda uyarmasının ardından geldi. UAC-0200 kod adlı bir etkinlik kümesine bağlandılar.
Ajans, “Bir kez daha, mesajlaşma programları ve meşru ele geçirilmiş hesaplar kullanılarak yapılan siber saldırıların yoğunluğunda bir artış eğilimi olduğunu fark ediyoruz.” dedi. söz konusu. “Aynı zamanda, öyle ya da böyle, kurban bilgisayarda dosyayı açmaya teşvik ediliyor.”
Bu aynı zamanda, GhostWriter (diğer adıyla UAC-0057 ve UNC1151) olarak bilinen Belaruslu devlet destekli bilgisayar korsanları tarafından yürütülen ve Ukrayna Savunma Bakanlığı’nı hedef alan saldırılarda bubi tuzaklı Microsoft Excel belgelerini kullanan bir kötü amaçlı yazılım kampanyasının keşfedilmesini de takip ediyor.
Broadcom’un sahibi olduğu Symantec, “Gömülü bir VBA Makrosu içeren Excel belgesi yürütüldüğünde, bir LNK ve bir DLL yükleyici dosyası düşüyor.” söz konusu. “Daha sonra, LNK dosyasını çalıştırmak DLL yükleyiciyi başlatıyor ve potansiyel olarak Ajan Tesla, Cobalt Strike işaretçileri ve njRAT dahil olmak üzere şüpheli bir son yüke yol açıyor.”
