Salı günü Ukrayna’nın Bilgisayar Acil Müdahale Ekibi (CERT-UA), UAC-0173 olarak izlediği organize bir suç grubundan yenilenmiş faaliyet konusunda DCRAT (Darkcrystal Rat) adlı uzaktan erişim Truva atı ile enfekte olmayı içeren yenilenmiş faaliyetleri uyardı.
Ukrayna Siber Güvenlik Otoritesi, Ocak ayı ortalarında başlayan son saldırı dalgasını gözlemlediğini söyledi. Etkinlik, Ukrayna’nın noterini hedeflemek için tasarlandı.
Enfeksiyon zinciri, Ukrayna Adalet Bakanlığı adına gönderildiğini iddia eden kimlik avı e -postalarından yararlanır ve alıcıları, başlatıldığında DCRAT kötü amaçlı yazılımların konuşlandırılmasına yol açan bir yürütülebilir dosyayı indirmeye çağırır. İkili, Cloudflare’nin R2 bulut depolama hizmetinde barındırılmaktadır.
“Noterin otomatik işyerine birincil erişim sağladıktan sonra, saldırganlar, özellikle, delik hizmetinin kullanımı ile birlikte, internetten doğrudan bilgisayara RDP bağlantıları kurmanıza izin veren paralel RDP oturumlarının işlevselliğini uygulayan RDPWrapper, ek araçlar yüklemek için önlemler alıyor” söz konusu.
Saldırılar ayrıca, devlet kayıtlarının web arayüzüne girilen kimlik doğrulama verilerini, ağ taraması için NMAP ve kimlik bilgileri ve pano içeriği gibi hassas verileri çalmak için Xworm gibi diğer araçların ve kötü amaçlı yazılım ailelerinin kullanımı ile karakterize edilir.
Ayrıca, tehlikeye atılan sistemler, saldırıları daha da yaymak için Sendmail konsolu yardımcı programını kullanarak kötü niyetli e -postalar hazırlamak ve göndermek için bir kanal olarak kullanılır.
Geliştirme, CERT-UA’nın Sandworm Hacking Grubu (AKA APT44, Seasshell Blizzard ve UAC-0002) içindeki bir alt kümeyi Microsoft Windows’ta (CVE-2024-38213, CVSS, 6.5) Booby-Tapped belgelerinin ikinci yarısında kullanma işlemine bağlamasından günler sonra geliyor.
Saldırı zincirlerinin, bir tuzak dosyası görüntülemekten sorumlu PowerShell komutlarını yürüttüğü bulunurken, aynı anda ikinci en iyi (yani Empirepast), Spark ve Crookbag adlı bir Golang yükleyici de dahil olmak üzere arka planda ek yükler başlattı.
Etkinlik, atfedilmiş UAC-0212’ye, Sırbistan, Çek Cumhuriyeti ve Ukrayna’dan Temmuz 2024 ile Şubat 2025 arasında hedeflenen tedarikçi şirketleri, bazıları otomatik süreç kontrol sistemleri (ACST), elektriksel işler ve bereket taşımacılığının geliştirilmesi konusunda uzmanlaşmış iki düzineden fazla Ukraynalı işletmeye karşı kaydedildi.
Bu saldırıların bazıları tarafından belgelendi Forvet laboratuvarları ve ikincisi takma Badpilot altındaki tehdit grubunu izleyen Microsoft.
