Ukrayna’nın bilgisayar acil müdahale ekibi (CERT-UA), hassas verileri çalmak amacıyla ülkedeki devlet yönetim organlarına ve kritik altyapı tesislerine karşı üçten az siber saldırı kaydedildiğini ortaya koymuştur.
Kampanya, ajans söz konusuDropMefiles ve Google Drive gibi meşru hizmetlere işaret eden bağlantılar içeren kimlik avı mesajları göndermek için tehlikeye atılmış e -posta hesaplarının kullanılmasını içeriyordu. Bazı durumlarda, bağlantılar PDF eklerine gömülür.
Dijital misyonlar, bir Ukrayna hükümet ajansının maaş kesmeyi planladığını ve alıcıyı etkilenen çalışanların listesini görüntülemek için bağlantıyı tıklamaya çağırarak yanlış bir aciliyet duygusu yaratmaya çalıştı.
Bu bağlantıları ziyaret etmek, belirli bir uzantılar kümesiyle eşleşen ve ekran görüntülerini yakalayan dosyaları hasat edebilen bir PowerShell komut dosyası getirmek ve yürütmek için tasarlanmış bir Visual Basic Script (VBS) yükleyicisinin indirilmesine yol açar.
UAC-0219 olarak izlenen bir tehdit kümesine atfedilen etkinliğin, en azından 2024 sonbaharından bu yana devam ettiği söyleniyor, EXE ikili dosyaları, bir VBS stealer ve hedeflerini gerçekleştirmek için Irfanview adlı meşru bir görüntü editörü yazılımı kullanan erken yinelemelerle.
CERT-UA, VBS Loader ve PowerShell kötü amaçlı yazılımını takma Worksteel’i verdi. Saldırılar hiçbir ülkeye atfedilmemiştir.
Siber saldırılar, sahte giriş sayfaları aracılığıyla webmail kimlik bilgilerini hasat etmek için Ukrayna’da devam eden çatışmalara bağlantılarla savunma ve havacılık varlıklarına odaklanan bir kimlik avı kampanyasının keşfini takip ediyor.
“Saldırganlar sayfayı kullanarak oluşturmuş gibi görünüyor PostaGitHub’da mevcut bir açık kaynaklı posta sunucusu yazılımı, “Domaintools Araştırmaları (DTI) ekibi söz konusu.
“Ukrayna’nın savunma ve telekomünikasyon altyapısında yer alan sahte örgütlere odaklanma ayrıca Ukrayna’daki çatışmayla ilgili istihbarat toplama niyetini öneriyor. Özellikle, sahte savunma, havacılık ve BT şirketlerinin birçoğu Ukrayna’nın Rusya ile çatışmasında askeri çabalarına destek sağladı.”
UAC-0050 ve UAC-0006 gibi Rusya’ya uyumlu saldırı setleri de gözlemlenen Finansal olarak ve casusluk motive edilmiş spam kampanyaları, 2025’in başından bu yana, öncelikle hükümetler, savunma, enerji ve STK gibi çeşitli sektörleri hedefleyen, Sload, Remcos Rat, Netsupport sıçan ve Smokeloader gibi kötü amaçlı yazılım ailelerini dağıtmak.
Gelişme, Kaspersky’nin Head Mare olarak bilinen tehdit aktörünün, birkaç Rus kuruluşunu hedeflediği konusunda uyardı. Fantompiramid Bu, Operatör tarafından bir komut ve kontrol (C2) sunucusu üzerinden verilen talimatları işleyebilir ve Meshagent gibi ek yükleri indirip çalıştırabilir.
Rus enerji şirketleri, endüstriyel işletmeler ve elektronik bileşenlerin tedarikçileri ve geliştiricileri de, bir tehdit aktör tarafından monte edilen kimlik avı saldırılarının alıcı sonunda yer alıyor. Tek boynuzlu at Bu, enfekte ana bilgisayarlardan dosyaları ve görüntüleri sifonlamak için tasarlanmış bir VBS Truva atı bıraktı.
Geçen ayın sonlarında, Seqrite Labs, Rusya’daki akademik, hükümet, havacılık ve savunma ile ilgili ağların, Hollowquill Operasyonu olarak adlandırılan bir kampanyanın bir parçası olarak, muhtemelen kimlik avı e-postaları aracılığıyla gönderilen silahlı tuzak belgeleri tarafından hedeflendiğini açıkladı. Saldırıların Aralık 2024’te başladığına inanılıyor.
Etkinlik, sosyal mühendislik arazilerini kullanıyor, kötü amaçlı yazılımları bağlayan PDF’leri, şüphesiz kullanıcıları saldırı zincirini tetiklemeye ikna etmek için araştırma davetiyeleri ve hükümet tebrikleri olarak gizliyor.
Güvenlik araştırmacısı Subhajeet Singha, “Tehdit varlığı, .NET kötü amaçlı bir yazılım damlası içeren bir kötü niyetli yazılım damlası içeren bir kötü amaçlı yazılım damlası içeren, Golang tabanlı bir kabuk kodu yükleyicisini daha da düşüren bir golang tabanlı kabuk kodu yükleyicisini daha da düşürüyor.” söz konusu.
