Ghostwriter (diğer adıyla UNC1151) olarak bilinen Belaruslu bir tehdit aktörü, devam eden Rus-Ukrayna çatışmasından yararlanan kimlik avı kampanyalarının bir parçası olarak yakın zamanda açıklanan tarayıcıda tarayıcı (BitB) tekniğinden yararlanırken tespit edildi.
Tarayıcı içinde bir tarayıcı penceresi simüle ederek meşru bir etki alanı gibi görünen yöntem, ikna edici sosyal mühendislik kampanyaları oluşturmayı mümkün kılıyor.
Google’ın Tehdit Analizi Grubu (TAG) “Hayalet yazar aktörleri, bu yeni tekniği daha önce gözlemlenen bir teknikle birleştirerek, güvenliği ihlal edilmiş sitelerde kimlik bilgileri kimlik avı açılış sayfalarını barındırarak hızla benimsedi.” dedim yeni bir raporda, şüpheli olmayan kurbanlar tarafından uzak bir sunucuya girilen kimlik bilgilerini sifonlamak için kullanıyor.
Hedefleri sahte e-postalar veya bağlantılar açmaları için kandırmak için kimlik avı ve kötü amaçlı yazılım kampanyalarında savaşı bir cazibe olarak kullanan diğer gruplar arasında, Mustang Panda ve Scarab’ın yanı sıra İran, Kuzey Kore ve Rusya’dan ulus devlet aktörleri yer alıyor.
Listede ayrıca, TAG’nin Ukrayna, Rusya, Kazakistan ve Moğolistan’daki hükümet ve askeri kuruluşlara yönelik saldırılar düzenleyen Çin Halk Kurtuluş Ordusu Stratejik Destek Gücü’ne (PLASSF) atfettiği bir hack ekibi olan Curious Gorge da yer alıyor.
Son iki haftalık dönemde gözlemlenen üçüncü bir saldırı grubu, COLDRIVER (aka Calisto) olarak bilinen Rusya merkezli bilgisayar korsanlığı grubundan kaynaklandı. TAG, aktörün ABD merkezli çok sayıda STK ve düşünce kuruluşunu, bir Balkan ülkesinin ordusunu ve ismi açıklanmayan bir Ukraynalı savunma yüklenicisini hedef alan kimlik avı kampanyaları düzenlediğini söyledi.
TAG araştırmacısı Billy Leonard, “Ancak, TAG ilk kez birden fazla Doğu Avrupa ülkesinin ordusunu ve bir NATO Mükemmeliyet Merkezini hedef alan COLDRIVER kampanyalarını gözlemledi” dedi. “Bu kampanyalar, yeni oluşturulan Gmail hesapları kullanılarak Google dışı hesaplara gönderildi, dolayısıyla bu kampanyaların başarı oranı bilinmiyor.”
Viasat 24 Şubat Saldırısını Yıktı
Açıklama, ABD merkezli telekomünikasyon firması Viasat’ın 24 Şubat 2022’de Rusya’nın Ukrayna’yı askeri işgaliyle aynı zamana denk gelen KA-SAT ağına yönelik “çok yönlü ve kasıtlı” bir siber saldırının ayrıntılarını açıklamasıyla geldi.
Uydu geniş bant hizmetine yapılan saldırı, on binlerce modemin ağ bağlantısını keserek Ukrayna ve Avrupa’daki birçok müşteriyi etkiledi. 5.800 rüzgar türbini operasyonu Orta Avrupa’daki Alman şirketi Enercon’a ait.
Şirket, “Saldırının amacının hizmeti kesintiye uğratmak olduğuna inanıyoruz” açıkladı. “Herhangi bir son kullanıcı verisine erişildiğine veya gizliliğinin ihlal edildiğine veya müşterinin kişisel ekipmanına (PC’ler, mobil cihazlar vb.) uygunsuz bir şekilde erişildiğine dair herhangi bir kanıt yoktur ve KA-SAT uydusunun kendisinin veya onu destekleyen uydu zemininin herhangi bir kanıtı yoktur. altyapının kendisi doğrudan dahil edildi, bozuldu veya tehlikeye girdi.”
Viasat, saldırıyı, KA-SAT ağına uzaktan erişim sağlamak ve modemlerde “flash bellekteki önemli verilerin üzerine yazan” yıkıcı komutlar yürütmek için bir VPN cihazındaki yanlış yapılandırmadan yararlanan bir “yer tabanlı ağ saldırısına” bağladı. ağa geçici olarak erişilemiyor.
Kobalt Grevi ile hedeflenen Rus muhalifler
Amansız saldırılar, Doğu Avrupa’da devam eden çatışmanın ardından ortaya çıkan uzun bir kötü niyetli siber faaliyetler listesinin sonuncusu. hizmet reddi (DDoS) saldırıları.
Bu aynı zamanda, Ukrayna etki alanlarına karşı DDoS saldırıları gerçekleştirmek amacıyla sahte JavaScript kodu enjekte etmek için meşru WordPress sitelerinden ödün verme şeklini de aldı. araştırmacılar MalwareHunterTeam’den.
Ama sadece Ukrayna değil. Malwarebytes Labs, bu hafta, güvenliği ihlal edilmiş sistemlere zararlı yükleri dağıtmak amacıyla Rus vatandaşlarını ve devlet kurumlarını hedef alan yeni bir hedef odaklı kimlik avı kampanyasının ayrıntılarını ortaya koydu.
Hossein Jazi, “Mızraklı oltalama e-postaları, Rus Hükümeti tarafından yasaklanan web sitelerini, sosyal ağları, anlık mesajlaşma programlarını ve VPN hizmetlerini kullanan kişileri uyarıyor ve suç duyurusunda bulunulacak.” dedim. “Kurbanlar, daha fazlasını öğrenmek için kötü niyetli bir ek veya bağlantı açmaya yönlendiriliyor, yalnızca Cobalt Strike ile enfekte olmak için.”
Kötü amaçlı yazılım yüklü RTF belgeleri, yaygın olarak kötüye kullanılan MSHTML uzaktan kod yürütme güvenlik açığı (CVE-2021-40444) için bir istismar içerir ve bu, bir uzak sunucu.
Başka bir faaliyet kümesi, potansiyel olarak, bir sonraki aşama yürütülebilir dosyasını getirip çalıştırabilen PowerShell tabanlı bir arka kapıyı düşürmek için tasarlanmış benzer bir kötü niyetli çekicilik kullanan Carbon Spider (diğer adıyla FIN7) olarak izlenen bir Rus tehdit aktörü ile ilgilidir.
Malwarebytes ayrıca, “Ukrayna’da bilgi çalmak veya başka bir şekilde erişim sağlamak amacıyla kullanılan kötü amaçlı yazılım ailelerinde önemli bir artış” tespit ettiğini söyledi. Hacktool.LOIC, Ainslot solucanıFFDroider, form defteri, Remco’larve Kuasar Sıçan.
Malwarebytes Labs direktörü Adam Kujawa, “Bu ailelerin hepsi siber güvenlik dünyasında nispeten yaygın olsa da, Rus birlikleri Ukrayna sınırını geçtiğinde neredeyse tam olarak ani artışlara tanık olmamız, bu gelişmeleri ilginç ve olağandışı kılıyor” dedi. Hacker Haberleri.