Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) uyarıldı Ukrayna Güvenlik Servisi gibi davranarak uzaktan masaüstü erişimi sağlayabilen kötü amaçlı yazılımlar dağıtmayı amaçlayan yeni bir kimlik avı kampanyası.
Kurum, faaliyeti UAC-0198 adı altında izliyor. Temmuz 2024’ten bu yana ülkedeki hükümet organlarıyla ilgili olanlar da dahil olmak üzere 100’den fazla bilgisayarın enfekte olduğu tahmin ediliyor.
Saldırı zincirleri, MSI yükleyici dosyası içeren bir ZIP arşiv dosyasının iletilmesi için e-postaların toplu olarak dağıtılmasını ve bu dosyanın açılmasıyla ANONVNC adı verilen kötü amaçlı yazılımın dağıtılmasını içeriyor.
ANONVNC, açık kaynaklı bir uzaktan yönetim aracına dayanan bir araçtır. AğAjanenfekte olmuş bilgisayarlara gizlice yetkisiz erişime izin verir.
Gelişme CERT-UA olarak geliyor atfedilen UAC-0102 adlı bilgisayar korsanı grubu, kullanıcıların kimlik bilgilerini çalmak için UKR.NET’in giriş sayfasını taklit eden HTML ekleri yayarak kimlik avı saldırıları düzenliyor.
Geçtiğimiz birkaç hafta içinde, kurum ayrıca PicassoLoader kötü amaçlı yazılımını dağıtan ve Cobalt Strike Beacon’ı tehlikeye atılmış sistemlere yerleştirmeyi amaçlayan kampanyalarda bir artış konusunda uyardı. Saldırılar, UAC-0057 olarak izlenen bir tehdit aktörüyle ilişkilendirildi.
“UAC-0057’nin ilgi nesnelerinin hem proje ofislerinin uzmanları hem de Ukrayna’nın ilgili yerel yönetimlerinin çalışanları arasından ‘yüklenicileri’ olabileceğini varsaymak makuldür,” CERT-UA söz konusu.
