Rusya bağlantılı APT28 bilgisayar korsanlığı grubu, sahte “Windows Update” kılavuzlarını kullanan bir kimlik avı kampanyasında Ukrayna hükümet kurumlarını hedef aldı.
Nisan ayında CERT-UA, Microsoft Outlook’ta devlet kurumlarındaki sistem yöneticileri gibi görünen kişilerden – “Windows Update” yazan bir konu satırıyla gönderilen kötü amaçlı e-postalar gözlemledi. E-postalar, alıcıları “bir komut satırı başlatma ve bir PowerShell komutu yürütme” konusunda kandırmaya çalıştı.
Rusya Genelkurmay Başkanlığı Ana İstihbarat Başkanlığı’na (GRU) bağlı 26165 numaralı askeri birlik bünyesinde faaliyet gösteren APT28 grubunun 2007’den beri aktif olduğu bilinmektedir. ve hükümetler, güvenlik kuruluşları, ordular ve 2016 ABD başkanlık seçimleri dahil olmak üzere dünya çapında çeşitli operasyonları hedef aldı.
“Bahsedilen komut, işletim sistemini güncelleme sürecini simüle eden bir PowerShell betiğini indirecek ve ‘tasklist’, ‘systeminfo’ komutlarını kullanarak bilgisayar hakkında temel bilgileri toplamak için tasarlanmış aşağıdaki PowerShell betiğini indirip çalıştıracak ve Mocky hizmeti API’sine HTTP isteği kullanılarak sonuçlar alındı” CERT-UA uyarısı belirtildi.
Bundan sonra CERT-UA, PowerShell’e kısıtlamalar getiren kuruluşların Mocky hizmet API’sini kullanmalarını ve ağ bağlantılarını izlemelerini önerir. NCSC, NSA, CISA ve FBI ayrıca APT28’in saldırılarıyla bağlantılı taktikler, teknikler ve prosedürler (TTP’ler) hakkında bilgi içeren ortak bir danışma belgesi yayınladı.
